X-Frame-Options 有三个值:
- DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
- SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。
- ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。
配置文件一般在 nginx/conf/nginx.conf中
add_header X-Frame-Options SAMEORIGIN //加入到服务器配置文件的'http'或者'server'中
配置完成后重启服务器 service nginx restart
怎么确定自己已经开启了呢?打开自己的网页,在开发者工具中查看是否有此信息,F12→Network→Doc,然后查看headers信息
如图:
