有一个 Header X-Frame-Options,当您想使用 iframe 禁止(或限制)其他网站将您的页面嵌入到他们的页面时,网络服务器会提供该选项。
但是,是否有一个 Header 告诉浏览器:“不允许在此页面上加载任何 Iframe”?
当然,有一些 header 告诉浏览器允许执行来自哪个域的哪些脚本,但我想要更通用的东西:“不允许任何 iframe 或仅来自某些来源的 iframe在此页面上加载”。
最佳答案
Content-Security-Policy (CSP) 可用于限制页面上的内容,包括 iframe。具体来说,frame-src
directive 。如果您设置以下 HTTP header ,您的页面上将不允许使用 iframe。
内容安全策略:frame-src“无”
如果您只想允许来自特定来源的 iframe,您可以执行以下操作以允许来自 example.com 和所有子域的 iframe:
内容安全策略:frame-src http://*.example.com
您还可以通过元标记设置 CSP 策略。
关于用于禁止页面上的 Iframe 的 HTTP header ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47281439/