我确实在 apache 配置文件中设置了 X-Frame-Options DENY。
Header always append X-Frame-Options DENY
我可以看到服务器响应在标题中包含 X-Frame-Options DENY 但页面上的 iframe 仍然可见。
我做错了什么?
问问题
1423 次
2 回答
1
我发现最好的方法是在你的虚拟主机下设置它,如果你使用的是 drupal,请确保你的“settings.php”添加了以下内容:
$conf['x_frame_options'] = '';
Apache - 虚拟主机在您的定义顶部设置以下内容(见下文):
<VirtualHost *:80>
DocumentRoot "/var/www/your_site_dir"
SetEnvIf Referer "^.*?\.yourdomain\.(com|net)\.au.*?$" NO_X_FRAME_OPTIONS 1
Header always unset X-Frame-Options env=NO_X_FRAME_OPTIONS
Header set X-Frame-Options "SAMEORIGIN" env=!NO_X_FRAME_OPTIONS
// Rest of config below...
</VirtualHost>
希望这可以帮助!PS - 这也适用于所有不受支持的浏览器。
于 2016-10-17T05:50:03.373 回答
0
并非所有浏览器都支持此选项:
- IE8+
- 歌剧 10.50+
- 野生动物园 4+
- Chrome 4.1.249.1042+(Allow-From 尚不支持)
- Firefox 3.6.9(或更早版本的 NoScript)
来源:http: //blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx
于 2013-11-17T18:49:31.250 回答