HTTP X-Frame-Options 防止iframe内框架调用

X-Frame-Options response header 可用于指示是否应该允许浏览器呈现在一个页面<FRAME>

或 <IFRAME>中. 以确保网站内容是不是嵌入到其它网站.

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta http-equiv="X-Frame-Options" content="SAMEORIGIN / DENY ">

<title> X-Frame-Options </title>

</head>

使用X-Frame-Options 有两种可能的值：

DENY ：该页无法显示在一个框架中.

SAMEORIGHT ：页面只能显示在页面本网站的框架中.

换句话说，通过<IFRAME>/<FRAME> 框架加载页面，如果你指定DENY，不仅会尝试加载在一个

框架页面失败，其它网站加载也会失败。 另一方面，如果你指定 SAMEORIGHT, 其它网站加载会失败,

它可以作为页面相同的站点加载。

可以配置Apache为所有网页发送X-Frame-Options.

当试图加载到 <IFRAME>/<FRAME> 框架中的内容有X-Frame-Options 的选项头失败时， 火狐目前 在<IFRAME>/<FRAME> 呈现是空白。

详细说明看下面文章========>

原文：http://www.css88.com/archives/5141

使用 X-Frame-Options 有三个可选的值：

DENY：浏览器拒绝当前页面加载任何Frame页面

SAMEORIGIN：frame页面的地址只能为同源域名下的页面

ALLOW-FROM：origin为允许frame加载的页面地址

eg:

<meta http-equiv="X-Frame-Options" content="ALLOW-FROM http://optimizely.com">[/code]顺便说一下，Optimizely 是一家网站测试工具提供商，小资料http://www.36kr.com/p/6943.html

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options?redirectlocale=en-US&redirectslug=The_X-FRAME-OPTIONS_response_header