为了避免网页被 frame 或者 iframe 嵌套,可以设置 Frame-Options 禁用。
Frame-Options 目前还未完全成为标准,仍需要使用 X-Frame-Options。
X-Frame-Options 值列表
DENY | 拒绝在 frame 或 iframe 中加载网页 |
SAMEORIGIN | 允许在同域 frame 和 iframe 中加载网页 |
ALLOW-FROM uri | 允许在指定域下的 frame 和 iframe 中加载网页,支持并不完整 |
例如在 www.main.com frame-options.php 中增加 X-Frame-Options header,然后在 www.third.com frame.php 中增加 iframe,指向 frame-options.php,效果如下:
代码示例:
www.main.com
// 文件 frame-options.php <?php header('X-Frame-Options: DENY');?> You cannot see this page.
www.third.com
// 文件 frame.php <iframe src="http://www.main.com/frame-options.php"></iframe>