X-Frame-Options
X-Frame-Options
通常存在三个值,被设置在服务端返回头(Response Header)中:
1 2 3
| X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM uri #此用法被弃用,可能不被支持
|
如果设置为 DENY
,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN
,那么页面就可以在同域名页面的 frame 中嵌套。
DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。规范让浏览器厂商决定此选项是否应用于顶层、父级或整个链,有人认为该选项不是很有用,除非所有的祖先页面都属于同一来源(origin)。参见浏览器兼容性以获取详细的兼容性信息。
ALLOW-FROM uri
已弃用
这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。请注意,在旧版 Firefox 上,它会遇到与 SAMEORIGIN
相同的问题——它不会检查 frame 所有的祖先页面来确定他们是否是同一来源。Content-Security-Policy HTTP 首部有一个 frame-ancestors
指令,你可以使用这一指令来代替。
备注: 使用 <meta>
标签来设置 X-Frame-Options
是无效的!例如 <meta http-equiv="X-Frame-Options" content="deny">
没有任何效果。不要这样用!只有当像下面示例那样设置 HTTP 头 X-Frame-Options
才会生效。
CSP: frame-ancestors
HTTP 头部 Content-Security-Policy
(CSP) 指令指定了一个可以包含<frame>
,<iframe>
,<object>
,<embed>
,or <applet>
等元素的有效父级。
当 frame-ancestors
被设置成 none
时,类似于 X-Frame-Options: DENY
。
该指令不支持通过 <meta>
元素或通过 Content-Security-policy-Report-Only
头域所指定。
frame-ancestors
策略可以设置一个或多个源 <source>
:
1 2
| Content-Security-Policy: frame-ancestors <source>; Content-Security-Policy: frame-ancestors <source> <source>;
|