X-Frame-Options 是一个 HTTP 响应头,用于告诉浏览器当前页面是否允许被嵌入到 <iframe>、<frame> 或 <object> 元素中。这是防范点击劫持攻击的主要手段之一。
X-Frame-Options 有三个可选值:DENY (完全禁止嵌入)、SAMEORIGIN (只允许同源页面嵌入) 和 ALLOW-FROM uri (允许指定来源嵌入,但已被弃用)。现代浏览器推荐使用 CSP 的 frame-ancestors 指令作为更灵活的替代方案。欢迎参阅在 Amazon 搜索 HTTP 安全头书籍。
在 URL 缩短服务中,X-Frame-Options 应该设置为 DENY 或 SAMEORIGIN,防止服务页面被恶意网站嵌入。特别是管理界面和链接创建页面,必须严格限制 iframe 嵌入。
需要注意的是,X-Frame-Options 只能指定一个值,无法同时允许多个不同来源。如果需要更精细的控制,应使用 CSP 的 frame-ancestors 指令,它支持多个来源和通配符。在 Amazon 搜索 Web 安全配置书籍涵盖了这些配置细节。