04月11, 2012

使用 X-Frame-Options header 拒绝被嵌入框架(iframe...)

最近测试google 嵌入iframe的一个东西, 突然发现不能显示了。 IE如下图表现:

有点稀奇,之前从来没了解过。

通过javascript 判断 parent.location 和 locaiton 倒是可以做到, 但显然这个不是google输出的,而是IE浏览器的显示。

奇舞团同学们的帮助下,终于搞清楚了。

使用 X-Frame-Options header 拒绝被嵌入框架(iframe...)

在header中增加 X-Frame-Options SAMEORIGIN 输出,如下图:

兼容性:

Browser Lowest version
Internet Explorer 8.0
Firefox (Gecko) 3.6.9 (1.9.2.9)
Opera 10.50
Safari 4.0
Chrome 4.1.249.1042

参考:

  1. https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header
  2. http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx

本文链接:https://75team.com/post/使用-x-frame-options-header-拒绝被嵌入框架iframe.html

-- EOF --

Comments

评论加载中...

注:如果长时间无法加载,请针对 disq.us | disquscdn.com | disqus.com 启用代理。