X-Frame-Options 浏览器兼容性
2021-01-14 乐帮网
web
X-Frame-Options HTTP 响应头是用来给浏览器指示是否允许页面嵌套到在 <frame></iframe> 或<object> 中显示。网站可以使用这个响应头,来避免自己网站的页面被一些不法分子嵌套到自己的网站中去做坏事儿。
主要危害方法:
不法分子可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱骗用户在网页上操作,此时用户点击的是透明的iframe里的页面。通过调整iframe页面的位置,可以锁定iframe中任意位置上的按钮,导致用户最终被劫持。
首先说明这个头X-Frame-Options 包含三种值 :
DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri 表示uri的页面可以在指定来源的 frame 中展示。
目前在各主流浏览器中兼容性汇总如下:
| 支持程度 | |
| Edge | 完美支持 |
| IE11 on winphone | 完美支持 |
| IE11 | 完美支持 |
| IE10 | 完美支持 |
| IE9 | 完美支持 |
| Firefox 18+ | 完美支持 |
| Dolphin 11.4.3 Android | 不支持allow-from |
| Chrome 57 | 不支持allow-from |
| Safari 10.0.1 | 不支持allow-from |
| Opera 26 | 不支持allow-from |
| IE8 | 不支持allow-from |
| IE7 | 完全不支持 |
| IE6 | 完全不支持 |
| Firefox 17 | 不支持allow-from |
数据来源参考:https://erlend.oftedal.no/blog/tools/xframeoptions/
相关文章:
in a frame because it set 'X-Frame-Options' to 'deny'.
关注我的微信公众号
在公众号里留言交流
投稿邮箱:1052839972@qq.com
庭院深深深几许?杨柳堆烟,帘幕无重数。
玉勒雕鞍游冶处,楼高不见章台路。
雨横风狂三月暮。门掩黄昏,无计留春住。
泪眼问花花不语,乱红飞过秋千去。
如果感觉对您有帮助
欢迎向作者提供捐赠
这将是创作的最大动力
- css 背景图设置成铺满拉伸
- ASP.NET Core Blazor WebAssembly启用压缩资源
- ASP.NET Core中除了wwwroot外再添加自定义静态文件目录
- 推荐一款基于Nodejs的CMS框架Gatsby
- 服务端渲染(SSR) 和客户端渲染(CSR) 优点和缺点
- Refused to frame '' Content Security Policy directive
- in a frame because it set 'X-Frame-Options' to 'deny'.
- 2020年10种最佳Java Web框架
- 常用的content-type汇总
- C# WinForm程序后台http请求获取Cookie