网站防iframe嵌套

有一天心血来潮,在我的页面上用iframe嵌套知乎时发现嵌套不成功,js报错如下:

Refused to display 'https://www.zhihu.com/' in a frame because it set 'X-Frame-Options' to 'deny'.
GET https://www.zhihu.com/ net::ERR_BLOCKED_BY_RESPONSE

上网查了一下X-Frame-Options是个什么东西。
原文:
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 frame, iframe 或者 object 标签 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

发现原来知乎做了防止嵌套的处理。一般对防止嵌套我们都是页面级使用js操作,知乎这个方法到是不错。
图如下:
01
参考文章:
X-Frame-Options 响应头

此条目发表在HTML, JavaScript分类目录。将固定链接加入收藏夹。

发表评论

电子邮件地址不会被公开。 必填项已用*标注