西安網(wǎng)絡(luò)公司，小宏有人反饋了一個在iframe內(nèi)無法調(diào)用網(wǎng)站同一個站點(diǎn)的頁面問題并報錯，就在網(wǎng)站查了一些相關(guān)的資料，整理一下關(guān)于禁止網(wǎng)站所有頁面或某一個頁面被iframe內(nèi)框架調(diào)用的方法。網(wǎng)站iframe內(nèi)框架調(diào)用頁面報錯如下:

Refused to display http://xxxxxx.com in a frame because it set 'X-Frame-Options' to 'deny'.

復(fù)制

通過查到的資料可得知，此錯誤與iframe框架被調(diào)用頁面的 HTTP 標(biāo)頭中 X-Frame-Options 設(shè)置有關(guān)，所以整理了如下資料

X-Frame-Options 介紹

X-Frame-Options是一個HTTP響應(yīng)頭，用來告訴瀏覽器此頁面是否可以在其它網(wǎng)頁中的frame或iframe標(biāo)簽中被渲染，網(wǎng)站可以利用此響應(yīng)頭來避免被其它網(wǎng)站所劫持。

X-Frame-Options有三個參數(shù)值，分別如下

DENY：表示不能被嵌入到任何iframe或frame中。

SAMEORIGIN：表示頁面只能被本站頁面嵌入到iframe或者frame中。

url，指定是一個域名，表示此網(wǎng)頁只能被指定域名下的頁面中的框架所調(diào)用

X-Frame-Options 使用如下

html代碼

以下代碼，添加到HTML頁面中的head標(biāo)簽內(nèi)即可

代碼1：html頁面禁止被框架調(diào)用

<meta http-equiv="X-Frame-Options" content="deny">

復(fù)制

代碼2：只允許頁面被本站調(diào)用

<meta http-equiv="X-Frame-Options" content="SAMEORIGIN">

復(fù)制

代碼3：只允許頁面被指定URL嵌套調(diào)用

<meta http-equiv="X-Frame-Options" content="http://www.hooboo.cn">

復(fù)制

經(jīng)過測試，使用以上代碼個別瀏覽器會拋出如下錯誤提示，使用時請慎重

 X-Frame-Options may only be set via an HTTP header sent along with a document. It may not be set inside <meta>.

復(fù)制

PHP代碼

<?php

//示例1

header('X-Frame-Options: deny');

//示例2

header('X-Frame-Options: SAMEORIGIN');

//示例3

header('X-Frame-Options: http://www.hooboo.cn');

?>

復(fù)制

PS：網(wǎng)站被iframe內(nèi)框架調(diào)用的危害性

攻擊者可以使用一個透明的、不可見的iframe標(biāo)簽，加載目標(biāo)頁面，然后通過調(diào)整iframe頁面的位置，誘導(dǎo)用戶進(jìn)行點(diǎn)擊操作頁面的功能區(qū)，并劫持用戶的數(shù)據(jù)，達(dá)到劫持頁面的目的。