Nginx add_header
X-Frame-Options
用来给浏览器指示允许一个页面可否在 、、 或者 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免点击劫持攻击
语法
# http,server,location
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
DENY: 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许 SAMEORIGIN: 表示该页面可以在相同域名页面的 frame 中展示。规范让浏览器厂商决定此选项是否应用于顶层、父级或整个链,有人认为该选项不是很有用,除非所有的祖先页面都属于同一来源(origin)
示例 配置nginx
add_header X-Frame-Options SAMEORIGIN;