我试图阻止不使用任何 iframe 的应用程序的点击劫持。在阅读时,我了解到 X-Frame-Options 应设置为拒绝。但是,我不知道该怎么做?
是否应该创建过滤器?还是在 javscript 中完成?] 这个应用程序有几个控制器?控制器是否必须将标头添加到响应中?
问问题
1366 次
1 回答
-1
X-Frame-Options是在文档(HTML 或其他)的 HTTP 响应上设置的 HTTP 标头。
由于它是由 HTTP Server 设置的,因此它的实现高度依赖于服务器架构。它可能可以通过内容类型全局设置,或者可能需要为每个文件或路由进行特定设置。这一切都取决于情况。
于 2015-02-23T17:22:01.127 回答