HTTP Response Headers 的 X-Frame-Options

現在新的瀏覽器都支援解讀 HTTP Response Header: X-Frame-Options 這個條件,因此我在自己的伺服器上面加了這個選項,主要是我的網站不想被人家用 frameset 或是 iframe 包起來。

There are two possible values for X-Frame-Options:

The page cannot be displayed in a frame, regardless of the site attempting to do so.

The page can only be displayed in a frame on the same origin as the page itself.

ref: The X-Frame-Options response header

如果是 Apache2 的話很簡單,不用改程式,可以直接用 Module 做掉:

1. 在 Apache2 啟動時一併載入 (如果是 debian 可以用 sudo a2enmod headers 來啟用)

2. 自己新增一個 conf 檔,裡面寫上

Header always append X-Frame-Options SAMEORIGIN

至於選項要是 SAMEORIGIN 還是 DENY 就看需求而定,之後重起 Apache2 就完成了。

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.