NGINX中 & &server { & } & 中添加add_header X-Frame-Options "SAMEORIGIN";防止该页面被其他网站嵌套，我们可以通过下面的工具进行测试：.cn/tiy/t.asp?f=html_frame_cols 编辑html代码，嵌套要测试的网站页面：&html&
&frameset&cols="50%,50%"&
&&&frame&src="/m_index.html"&
&&&frame&src="/m_index.html"&
&/frameset&
&/html&效果如下，其中设置了防嵌套，yyy.xxxxxx.xn没有设置放嵌套：650) this.width=650;" src="/upload/images//0251.jpg" title="QQ图片09.png" alt="wKioL1W_AO-juXHaAAH-IYjUo28785.jpg" />使用 X-Frame-Options header 拒绝被嵌入框架(iframe…) - 开源中国社区
当前访客身份：游客 [
当前位置：
最近测试google 嵌入iframe的一个东西， 突然发现不能显示了。 IE如下图表现：
有点稀奇，之前从来没了解过。
通过javascript 判断 parent.location 和 locaiton 倒是可以做到， 但显然这个不是google输出的，而是IE浏览器的显示。
在奇舞团同学们的帮助下，终于搞清楚了。
使用 X-Frame-Options header 拒绝被嵌入框架(iframe…)
在header中增加&X-Frame-OptionsSAMEORIGIN& 输出，如下图：
Lowest version
Internet Explorer
Firefox (Gecko)
3.6.9 (1.9.2.9)
4.1.249.1042
原文出处：
共有2个评论
<span class="a_vote_num" id="a_vote_num_
小编辑总是以出人意料的姿态出现在oschina的讨论区...
<span class="a_vote_num" id="a_vote_num_
呵呵，挺实用的。
更多开发者职位上
有什么技术问题吗？
小编辑的其它问题
类似的话题关于HTTP头部信息X-Frame-Options的问题-防止网站被人嵌套 | 19ye
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-Options信息
使用 X-Frame-Options 有三个可选的值：
DENY：浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN：frame页面的地址只能为同源域名下的页面
ALLOW-FROM：origin为允许frame加载的页面地址
说到这里肯定会问我设置方法，请往下看：
Apache配置
在你配置站点的地方添加一行：
Header always append X-Frame-Options SAMEORIGIN
nginx配置：
add_header X-Frame-Options SAMEORIGIN;
name="X-Frame-Options" value="SAMEORIGIN" /&
HAProxy配置
rspadd X-Frame-Options:\ SAMEORIGIN
PHP和JSP等动态文件更方便
改一下头信息
PHP代码： header(‘X-Frame-Options:SAMEORIGIN&#8217;);
JSP代码： response.setHeader(&#8220;X-Frame-Options&#8221;,&#8221;SAMEORIGIN&#8221;);
说了一大堆这代码浏览器的支持情况还不知道。
下面列出来给小伙伴看一下
Firefox (Gecko)
Internet Explorer
Basic support
4.1.249.1042
ALLOW-FROM support
Not supported
Not supported
手机：（有空我测试一下了再放上去吧）
Chrome for Android
Firefox Mobile (Gecko)
Opera Mobile
Safari Mobile
Basic supportZen Cart的安装、设置、升级讨论和使用技巧交流
& 分页： 1 / 1
网上搜的代码加入网站是否可行：方法1：&script language=&javascript&&&!--if (top.location !== self.location) { top.location=self.}//--&&/script&方法2：&script type=”text/javascript&
if(window!=parent)
parent.navigate(window.location.href); & /script&
帖子: 41注册:
JS的办法有一定作用, 但不可靠, 人家可以在浏览器端禁用js被别的网站通过iframe调用也不是什么坏事, 你网站的链接还在, 所以搜索引擎会把权重给你, 应该是相当于外链吧&script type=&text/javascript&&if(self != top) { top.location = self. }&/script&&script type=&text/javascript&&if(top!=self) {top.location.replace(document.location);}&/script&&script type=&text/javascript&&&!--if (top.location.href != self.location.href)
top.location.href = self.location.//--&&/script&&script type=&text/javascript&&if(top.location != window.location) {
window.location = '/error_iframe.php';}&/script&&script type=&text/javascript&&if (window.top !== window.self) window.top.location.replace(window.self.location.href);&/script&
header('X-Frame-Options:Deny');
Nginx配置:
add_header X-Frame-Options SAMEORIGIN
Apache配置:
Header always append X-Frame-Options SAMEORIGIN
IIS配置:&system.webServer&
&httpProtocol&
&customHeaders&
&add name=&X-Frame-Options& value=&SAMEORIGIN& /&
&/customHeaders&
&/httpProtocol&
...&/system.webServer&
帖子: 535注册:
感谢li-he-qi回答，，，可是我完全看不懂，，哈哈js方法：js 代码这么多，是随便一段加入网站公用部分就可以了吧php方法：PHP代码: header('X-Frame-Options:Deny');
这个要怎么用
帖子: 41注册:
js方法(不可靠):把 上面的JS代码片段比如:代码: &script type=&text/javascript&&if(self != top) { top.location = self. }&/script&放入includes/templates/你的模板/common/html_header.php文件中的&/head&标签前PHP方法:把:代码: &?php header(‘X-Frame-Options:Deny'); ?&放入includes/templates/你的模板/common/html_header.php文件中的&/head&标签前Meta标签方法:把:代码: &meta http-equiv=&X-FRAME-OPTIONS& content=&DENY&&放入includes/templates/你的模板/common/html_header.php文件中的&/head&标签前Apache主机方法:如果有多个站点, 可在Apache主机的httpd.conf文件中加一句后重启生效:代码: Header always append X-Frame-Options SAMEORIGIN.htaccess方法:如果只是一个站点, 在网站根目录下的.htaccess文件中中加一句:代码: Header append X-FRAME-OPTIONS &SAMEORIGIN&Nginx主机方法:在nginx/conf/nginx.conf文件中加一句后重启生效:代码: add_header X-Frame-Options &SAMEORIGIN&;IIS方法:在web.config文件中加:代码: &system.webServer&...&httpProtocol&&customHeaders&&add name=&X-Frame-Options& value=&SAMEORIGIN& /&&/customHeaders&&/httpProtocol&...&/system.webServer&
帖子: 535注册:
赞赞赞，非常感谢 li-he-qi 的细心回答
帖子: 41注册:
显示帖子 : 全部帖子1天7天2周1个月3个月6个月1年
排序 作者发表时间文章标题 升序降序
& 分页： 1 / 1
正在浏览此版面的用户：没有注册用户 和 0 位游客点击劫持（CLICKJACKING）与X-FRAME-OPTIONS HEADER
下面我们讨论下针对点击劫持的基本防御方法。
1.2& Frame Bursters
这是在页面上通过脚本来防止点击劫持或者&iframe&恶意请求的方式，本文不做介绍，详见&&，乌云有篇类似的中文文章共参考&&。
1.3 The X-Frame-Options
X-Frame-Options HTTP&响应头，可以指示浏览器是否应该加载一个&iframe&中的页面。网站可以通过设置&X-Frame-Options&阻止站点内的页面被其他页面嵌入从而防止点击劫持。
1.3.1 X-Frame-Options
X-Frame-Options&共有三个值：
任何页面都不能被嵌入到&iframe&或者&frame&中。
SAMEORIGIN
页面只能被本站页面嵌入到&iframe&或者&frame&中。
ALLOW-FROM&&uri
页面自能被指定的&Uri&嵌入到&iframe&或&frame&中。
1.3.2&Apache&配置&X-Frame-Options
在站点配置文件&httpd.conf&中添加如下配置，限制只有站点内的页面才可以嵌入iframe&。
Header always append X-Frame-Options SAMEORIGIN
配置之后重启&apache&使其生效。该配置方式对&IBM HTTP Server&同样适用。
如果同一&apache&服务器上有多个站点，只想针对一个站点进行配置，可以修改.htaccess&文件，添加如下内容：
Header append X-FRAME-OPTIONS &SAMEORIGIN&
1.3.3 Nginx&配置&X-Frame-Options
到&&&nginx/conf&文件夹下，修改&nginx.conf&&&，添加如下内容：
add_header X-Frame-Options &SAMEORIGIN&;
重启&Nginx&服务。
1.3.4 IIS&配置&X-Frame-Options
&&&&[3]&&&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】