如何在PHP代码中设置X-Frame-Options,使其出现在服务器上的所有网页中。基本上,我尽量避免iframe加载我的网络应用程序。
在php文件中使用以下内容,该文件将响应输出到客户端。
header("X-Frame-Options: DENY");
丹尼将全力阻截。您也可以尝试SAMEORIGIN选项。
header("X-Frame-Options: SAMEORIGIN");
如果您使用的是apache web服务器,也可以直接在httpd.conf中进行设置。
<Directory />
...
Header always set X-Frame-Options "SAMEORIGIN"
</Directory>
X-Frame-Options防止您的网站内容嵌入其他网站。浏览器允许其他网站在iframe中打开网页。它还保护您的Apache web服务器免受点击劫持攻击。
X-Frame-options有三个选项可供设置:
">SAMEORIGIN"–使用此设置,您可以嵌入同源页面。例如,将页面的iframe添加到网站本身。
'ALLOW-FROM uri–使用此设置允许特定来源(网站/域(在iframe中嵌入您网站的页面。
'DENY–这将不允许任何网站将您的网站页面嵌入iframe中。
我们有两种方法来设置X-Frame-Options
1.使用Apache配置
2.使用.htaccess
使用Apache配置:
基于Debian的系统:/etc/apache2/conf-enabled/security.conf基于Redhat的系统:/etc/httpd/conf/httpd.conf
Header set X-Frame-Options: "SAMEORIGIN" #Allow for Same Origin (Default Action)
Header set X-Frame-Options: "ALLOW-FROM http://example.com/" #Allow from specific origin
Header set X-Frame-Options: "DENY" #Deny to everyone
带有.htaccess
Header append X-Frame-Options: "SAMEORIGIN"