X-Frame-Options 只能通过与文档一起发送的 HTTP 标头来设置 - PHP

简介

X-Frame-Options 是一个安全标头，用于防止 点击劫持攻击 （clickjacking）。 它可以帮助网站防止其他网站将其内容嵌入到iframe中，从而保护网站的安全性。

在 PHP 中，我们可以使用标头（header）函数来设置 X-Frame-Options 标头。

设置 X-Frame-Options 标头

下面是设置 X-Frame-Options 标头的示例代码：

header('X-Frame-Options: DENY');

此代码将设置 X-Frame-Options 标头为 DENY。这意味着该页面不能在iframe中显示。

其他常用的选项还包括 SAMEORIGIN 和 ALLOW-FROM。以下是它们的示例代码：

header('X-Frame-Options: SAMEORIGIN');

header('X-Frame-Options: ALLOW-FROM https://example.com');

• SAMEORIGIN 选项允许同一个源（origin）的页面在iframe中显示该页面。
• DENY 选项禁止页面在任何情况下都不被嵌入到iframe中。
• ALLOW-FROM 选项允许指定的来源可以将页面嵌入到iframe中。

务必根据网站的安全需求选择适当的选项。

注意事项

请注意以下注意事项：

• X-Frame-Options 标头必须在响应头中设置，而不是在 HTML 文件中的 <meta> 标签中。
• 设置 X-Frame-Options 标头的代码应该在页面的任何内容输出之前执行，以确保标头被正确设置。
• X-Frame-Options 标头是一次性设置的，即在每个页面加载时都需要设置，无法保持跨页面的连续性。

结论

通过在 PHP 中设置 X-Frame-Options 标头，我们可以帮助防止点击劫持攻击对网站的潜在风险。选择适当的选项来确保页面的安全性，并在每个页面加载时设置标头，以保持一致的防护措施。