X-Frame-Options 有三个值:
DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。

add_header X-Frame-Options SAMEORIGIN; //加入到服务器配置文件的’http’或者’server’中

1 对 “nginx下iframe配置X-Frame-Options”的想法;

  1. SAMEORIGIN :注意,子域名不算同源域名;
    ALLOW-FROM uri 注意:不支持通配和多行枚举,且chrome和firefox不支持此方法。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

Captcha Code