当你想禁止(或限制)其他网站使用iframe将你的网页嵌入他们的网站时,网页服务器会提供标题X-Frame-Options。
但是,是否有一个Header告诉浏览器:“不允许在此页面上加载任何Iframe”?
当然,有一些标题告诉浏览器哪些脚本,允许从哪个域执行,但我想要更通用的东西:“不允许任何iframe,或只允许来自某些来源的iframe,在此页面上加载“。
答案 0 :(得分:1)
Content-Security-Policy(CSP)可用于限制网页上的内容,包括iframe。具体来说,frame-src directive。如果您设置了以下HTTP标头,则页面上不允许使用iframe。
Content-Security-Policy: frame-src 'none'
如果您只想允许来自特定来源的iframe,您可以执行以下操作以允许来自example.com和所有子域的iframe:
Content-Security-Policy: frame-src http://*.example.com
您还可以通过元标记设置CSP策略。