2014年4月21日 星期一

X-Frame-Options 是什麼?

X-Frame-Options 是一個 HTTP 標頭 (header),用來告訴瀏覽器這個網頁是否可以放在 iFrame 內

1. X-Frame-Options: DENY
2. X-Frame-Options: SAMEORIGIN
3. X-Frame-Options: ALLOW-FROM http://www.facebook.com/

第一個例子告訴瀏覽器不要 (DENY) 把這個網頁放在 iFrame 內,通常的目的就是要幫助用戶對抗點擊劫持。
第二個例子告訴瀏覽器只有當架設 iFrame 的網站與發出 X-Frame-Options 的網站相同,才能顯示發出 X-Frame-Options 網頁的內容。
第三個例子告訴瀏覽器這個網頁只能放在 http://www.facebook.com/ 網頁架設的 iFrame 內。
不指定 X-Frame-Options 的網頁等同表示它可以放在任何 iFrame 內。
X-Frame-Options 可以保障你的網頁不會被放在惡意網站設定的 iFrame 內,令用戶成為點擊劫持的受害人,它剛在今年 10 月成為業界標準,IE8、Firefox、Safari、和 Chrome 都支援 X-Frame-Options。 
來源

【下列文章您可能也有興趣】

1 則留言:

匿名 提到...

很實用, 謝謝您.