有一天心血来潮,在我的页面上用iframe嵌套知乎时发现嵌套不成功,js报错如下:
Refused to display 'https://www.zhihu.com/' in a frame because it set 'X-Frame-Options' to 'deny'. GET https://www.zhihu.com/ net::ERR_BLOCKED_BY_RESPONSE
上网查了一下X-Frame-Options是个什么东西。
原文:
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 frame, iframe 或者 object 标签 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
发现原来知乎做了防止嵌套的处理。一般对防止嵌套我们都是页面级使用js操作,知乎这个方法到是不错。
图如下:
参考文章:
X-Frame-Options 响应头