可以使用 X-Frame-Options HTTP 响应头,来防御点击劫持。
X-Frame-Options 可以有以下这些值:
X-Frame-Options: deny X-Frame-Options: sameorigin X-Frame-Options: allow-from example.com/
具体说明如下:
| 参数 | 说明 |
|---|---|
| deny | 禁止页面在 frame 中展示,即使是在相同域名下也不允许。 |
| sameorigin | 允许页面在相同域名的 frame 中展示。 |
| allow-from uri | 允许页面在指定来源的 frame 中展示。 |
在 nginx 中这样配置,可以确保 frame 中加载的页面是在同域名下:
add_header X-Frame-Options sameorigin always;
浏览器支持情况如下:
