X-Frame-Options响应头的检测与配置

最近公司的一个项目要过等保三级的认证给项目提的要求里有个要设置X-Frame-Options，简单！！第一步打开百度然后输入X-Frame-Optionsd点击搜索......., 不皮了直接上解决后的总结吧。

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。说简单点就是可以设置不允许嵌套页面，也从而避免了点击劫持 (clickjacking) 的攻击。

X-Frame-Options三个参数:

1、DENY

表示该页面不允许在frame中展示，即便是在相同域名的页面中嵌套也不允许。

2、SAMEORIGIN

表示该页面可以在相同域名页面的frame中展示。通常使用此项。

3、ALLOW-FROM uri

表示该页面可以在指定来源的frame中展示。

配置详解

Apache 

配置 Apache 在所有页面上发送 X-Frame-Options 响应头，需要把下面这行添加到 'site' 的配置中:

Header always set X-Frame-Options "sameorigin"

要将 Apache 的配置 X-Frame-Options 设置成 deny , 按如下配置去设置你的站点：

Header set X-Frame-Options "deny"

要将 Apache 的配置 X-Frame-Options 设置成 allow-from，在配置里添加：

Header set X-Frame-Options "allow-from https://example.com/"

nginx

配置 nginx 发送 X-Frame-Options 响应头，把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options sameorigin always;

我就先简单举例这两个常见配置方式，其他的配置方式可以点击官方文档 查看