Saber 酱的抱枕

Fly me to the moon

04/18
2017
学习

使用X-Frame-Options防止网页被Frame

如果想要防止自己的网页被别人用iframe给引用过去,可以在Header里设定X-Frame-Options。

示例:

X-Frame-Options有3个值:

DENY
浏览器拒绝当前页面加载任何Frame页面

SAMEORIGIN
frame页面的地址只能为同源域名下的页面

ALLOW-FROM http://em.com/
这个网页只能放在http://em.com//网页架设的iFrame内

除了由服务器设置,网页也可以通过meta信息来设置,如:

<meta http-equiv="X-Frame-Options" content="deny">

pixiv的网页对于iframe就做了同源设置,如果在其他网站里试图将iframe的src设定为p站的url,是无效的。控制台报错信息如下:

使用X-Frame-Options防止网页被Frame

使用X-Frame-Options防止网页被Frame