X-Frame-Options在元標記中不起作用？

我想限制我的網站內容通過iframe控制在其他域中使用。推薦的元標記<meta http-equiv="X-Frame-Options" content="deny">不起作用。我能做什麼？X-Frame-Options在元標記中不起作用？

2017-08-02 VR Patel

避免在元標籤中使用它。這樣做在IIS，或應用程序：

protected void Application_BeginRequest(object sender, EventArgs e) 
{ 
    HttpContext.Current.Response.AddHeader("x-frame-options", "DENY"); 
}

或

<httpProtocol> 
    <customHeaders> 
    <add name="X-Frame-Options" value="DENY" /> 
    </customHeaders> 
</httpProtocol>

如果你想允許特定的域，然後使用允許，從選項並沒有否認。

此標頭可能不適用於舊瀏覽器，例如Mozilla 3.0，因此您還需要實施客戶端驗證，名爲busting JS。請點擊此處查看：https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet

2017-08-02 07:45:41

只能使用HTTP標頭，不能在元標記中設置X-Frame-Options。

例如，如果您使用的是Apache，你應該在.htaccess文件

頁眉設置X框，選擇DENY添加一行這樣的

2017-08-02 07:39:12

回答