在自己新做的一個網站“開發頭條”上發現用iframe嵌入github的內容時，一篇空白，什么東西都沒有。打開chrome 調試，發現里面輸出一個錯誤提示：Refused to display 'https://github.com/hwclass/awesome-sound' in a frame because it set 'X-Frame-Options' to 'deny'. 搜索了一下這個東西。

X-Frame-Options是什么？

X-Frame-Options是一個HTTP標頭（header），用來告訴瀏覽器這個網頁是否可以放在iFrame內。例如：

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM http://caibaojian.com/

第一個例子告訴瀏覽器不要（DENY）把這個網頁放在iFrame內，通常的目的就是要幫助用戶對抗點擊劫持。

第二個例子告訴瀏覽器只有當架設iFrame的網站與發出X-Frame-Options的網站相同，才能顯示發出X-Frame-Options網頁的內容。

第三個例子告訴瀏覽器這個網頁只能放在http://caibaojian.com//網頁架設的iFrame內。

不指定X-Frame-Options的網頁等同表示它可以放在任何iFrame內。

X-Frame-Options可以保障你的網頁不會被放在惡意網站設定的iFrame內，令用戶成為點擊劫持的受害人。

另外查了最新的資料，還可以直接通過meta標簽來設置，不需要放在http頭部請求中了。

<meta http-equiv="X-Frame-Options" content="deny">

兩個參數：（作用與上面一致）

1. SAMEORIGIN
2. DENY

轉載請注明出處 AE博客|墨淵 ? 使用X-Frame-Options防止網頁放在iframe中