X-Frame-Options響應頭，可用于防止您的網站在<frame>，<iframe>或<object>中呈現。它有不同的選項，可以拒絕所有網站訪問，可以僅允許來自同一來源訪問，也可以允許來自特定來源訪問。

本文著重介紹各種瀏覽器如何響應被X-Frame-Options阻止的內容，至于如何使用X-Frame-Options，可以看看文章后面的知識擴展：使用 X-Frame-Options，也可以參考文章《nginx設置X-Frame-Options的兩種方法》、《IIS設置 X-Frame-Options 的方法》。

瀏覽器響應 - Firefox

Firefox

Firefox在框架里顯示空白而不渲染任何內容。

根本沒有任何錯誤消息，除非您進入開發人員控制臺，在那里您將看到消息：

X-Frame-Options拒絕加載：http://example.com/ 不允許跨源框架。

根據Mozilla文檔頁面：“在某些時候，幀中會顯示某種錯誤消息。”

瀏覽器響應 - Chrome和Safari

Chrome

與Firefox一樣，框架里顯示空白頁面。

同樣，如果您在控制臺中查看，您將看到兩個瀏覽器當前相同的錯誤消息：

拒絕在框架中顯示'http://www.example.com/'，因為它設置了'X-Frame-Options SAMEORIGIN'。

測試版本：Chrome 46和Safari 9。

瀏覽器響應 - IE8到IE11

Internet Explorer 11

Internet Explorer 顯示錯誤消息。

其中框架內容通常已經呈現，并帶有將框架內容打開到新窗口的鏈接：

此內容無法在一個框架中顯示。為了保護您在本網站上輸入的信息的安全性，此內容的發布者不允許它以框架形式顯示。您可以嘗試：在一個框架中打開此內容新窗戶。

瀏覽器響應 - Edge

Edge瀏覽器也顯示錯誤消息。

微軟的Edge瀏覽器的工作方式與舊的Internet Explorer版本相同，但內容略有改動：

這個內容不能在一個框架中顯示。這里應該有一些內容，但發布者不允許它顯示在一個框架中。這有助于保護您可能進入的任何信息的安全性。試試這個：在新窗口中打開它。

結論

我總是使用Javascript將我的網站從框架中刪除，但X-Frame-Options響應標頭可以防止您的網站被框起而無需編寫腳本。遺憾的是，大多數瀏覽器不像 Internet Explorer / Edge 那樣顯示明顯的錯誤，以便用戶可以輕松點擊進入實際的網站。

知識擴展：使用 X-Frame-Options

X-Frame-Options 有三個值:

◆ DENY

表示該頁面不允許在 frame 中展示，即便是在相同域名的頁面中嵌套也不允許。

◆ SAMEORIGIN

表示該頁面可以在相同域名頁面的 frame 中展示。

◆ ALLOW-FROM uri

表示該頁面可以在指定來源的 frame 中展示。

換一句話說，如果設置為 DENY，不光在別人的網站 frame 嵌入時會無法加載，在同域名頁面中同樣會無法加載。另一方面，如果設置為 SAMEORIGIN，那么頁面就可以在同域名頁面的 frame 中嵌套。

配置 Apache

配置 Apache 在所有頁面上發送 X-Frame-Options 響應頭，需要把下面這行添加到 'site' 的配置中:

Header always append X-Frame-Options SAMEORIGIN

配置 nginx

配置 nginx 發送 X-Frame-Options 響應頭，把下面這行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options SAMEORIGIN;

配置 IIS

配置 IIS 發送 X-Frame-Options 響應頭，添加下面的配置到 Web.config 文件中:

<system.webServer>
 ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

 ...
</system.webServer>

標簽: 瀏覽器  X-Frame-Options