服务端设置CSP(Content Security Policy,即内容安全策略)
通过设置 HTTP 响应头来声明 CSP 和X-Frame-Options,例如:
# 不允许被嵌入,包括<frame>, <iframe>, <object>, <embed> 和 <applet> Content-Security-Policy: frame-ancestors 'none' # 只允许被同源的页面嵌入 Content-Security-Policy: frame-ancestors 'self' # 只允许被白名单内的页面嵌入 Content-Security-Policy: frame-ancestors www.example.com # 不允许被嵌入,包括<frame>, <iframe>, <embed> 和 <object> X-Frame-Options: deny # 只允许被同源的页面嵌入 X-Frame-Options: sameorigin # (已废弃)只允许被白名单内的页面嵌入 X-Frame-Options: allow-from www.example.com
相关文章