X-Frame-Options头主要是为了防止站点被别人劫持、iframe引入,当被其它网页当做iframe嵌入时,浏览器显示拒绝连接一些提示,可以通过设置X-Frame-Options解决。
配置可以放入到nginx的 http 或者 server 中,nginx配置形式如下:
- add_header X-Frame-Options ALLOWALL; #允许所有域名iframe
- add_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名
- add_header X-Frame-Options SANEORIGIN; #允许相同域名iframe
- add_header X-Frame-Options ALLOW-FROM uri; #允许指定域名iframe的uri,如有多个逗号隔开a.com,b.com