X-Frame-Options 标头在防止恶意框架方面有多有用？

Question

将 X-Frame-Options DENY 添加到响应标头有助于防止网页的恶意框架，作为一种解决方案，它肯定比客户端 JavaScript 解决方案更好。

但它到底有多有用呢？所有（现代）浏览器都支持它，意图劫持您网站的黑客是否可以绕过它？

Answer 1

EricLaw 的页面 维护支持浏览器的列表。

目前主流桌面浏览器版本均支持；旧版本和利基市场，而某些移动浏览器则没有。因此，您可能还想包含一个反框架

当您想要有选择地允许框架时，您可能更喜欢使用脚本方法而不是 X-Frame-Options。 X-Frame-Options 不允许“白名单”，因此您不能允许 Google 图片流量但不允许其他流量。

无论哪种方式，IE6-7 仍然允许攻击者构建您的页面并禁用框架破坏程序。不幸的是，有问题的