HTTP Response Headers 的 X-Frame-Options
現在新的瀏覽器都支援解讀 HTTP Response Header: X-Frame-Options 這個條件,因此我在自己的伺服器上面加了這個選項,主要是我的網站不想被人家用 frameset 或是 iframe 包起來。
There are two possible values for X-Frame-Options:
DENY
The page cannot be displayed in a frame, regardless of the site attempting to do so.SAMEORIGIN
The page can only be displayed in a frame on the same origin as the page itself.
如果是 Apache2 的話很簡單,不用改程式,可以直接用 Module 做掉:
1. 在 Apache2 啟動時一併載入 mod_headers.so (如果是 debian 可以用 sudo a2enmod headers 來啟用)
2. 自己新增一個 conf 檔,裡面寫上
Header always append X-Frame-Options SAMEORIGIN
至於選項要是 SAMEORIGIN 還是 DENY 就看需求而定,之後重起 Apache2 就完成了。
Leave a Reply