有标题X-Frame-Options,当您想禁止(或限制(其他网站使用iframe将您的页面嵌入到他们的页面时,它由Web服务器提供。
但是,是否有一个标头告诉浏览器:"不允许在此页面上加载任何 Iframe"?
当然,有一些标头可以告诉浏览器允许从哪个域执行哪些脚本,但我想要更通用的东西:"不允许在此页面上加载任何 iframe,或仅允许来自某些来源的 iframe"。
Content-Security-Policy (CSP( 可用于限制页面上的内容,包括 iframe。具体来说,frame-src
指令。如果您设置了以下 HTTP 标头,则不允许在您的页面上显示任何 iframe。
Content-Security-Policy: frame-src 'none'
,可以执行以下操作以允许来自 example.com 和所有子域的 iframe:
Content-Security-Policy: frame-src http://*.example.com
还可以通过元标记设置 CSP 策略。