使用 X-Frame-Options header 拒绝被嵌入框架(iframe)

最近测试google 嵌入iframe的一个东西, 突然发现不能显示了。 IE如下图表现:

有点稀奇,之前从来没了解过。

通过javascript 判断 parent.location 和 locaiton 倒是可以做到, 但显然这个不是google输出的,而是IE浏览器的显示。

奇舞团同学们的帮助下,终于搞清楚了。

使用 X-Frame-Options header 拒绝被嵌入框架(iframe…)

在header中增加  X-Frame-Options SAMEORIGIN  输出,如下图:

 

兼容性:

Browser Lowest version
Internet Explorer 8.0
Firefox (Gecko) 3.6.9 (1.9.2.9)
Opera 10.50
Safari 4.0
Chrome 4.1.249.1042

 

参考:

1、https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header

2、http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx

赞 (0)
分享到:更多 ()