Open shfshanyue opened 3 years ago
可以使用 HTTP X-Frame-Options 响应头以及 CSP: frame-ancestors 指令,避免自己网站被当做 iframe 嵌入到非法网站引导用户点击
CSP: frame-ancestors
X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN
或者使用 CSP 的指令 frame-ancestors 进行预防
frame-ancestors
Content-Security-Policy: frame-ancestors 'none'; Content-Security-Policy: frame-ancestors 'self' https://www.example.org;
同时,也可以使用 Javascript 进行控制,当发现自身网站置于 iframe 中时,将不予展现
<head> </head> <body> <script> // 如果发现现在是在 iframe 中 if (self !== top) { document.write('') } </script> </body>
shfshanyue
commented
3 years ago shfshanyue
commented
3 years ago
可以使用 HTTP X-Frame-Options 响应头以及
CSP: frame-ancestors指令,避免自己网站被当做 iframe 嵌入到非法网站引导用户点击或者使用 CSP 的指令
frame-ancestors进行预防同时,也可以使用 Javascript 进行控制,当发现自身网站置于 iframe 中时,将不予展现