我确实在apache configuraiton文件中设置了X-Frame-Options DENY。
Header always append X-Frame-Options DENY
我可以看到服务器响应在标题处包含X-Frame-Options DENY,但页面上的iframe仍然可见。
我做错了什么?
答案 0 :(得分:1)
我发现最好的方法是将它设置在你的虚拟主机下,如果你正在使用drupal,请确保你的“settings.php”添加了以下内容:
$ conf ['x_frame_options'] ='';
Apache - 虚拟主机在定义的顶部设置以下内容(见下文):
<VirtualHost *:80>
DocumentRoot "/var/www/your_site_dir"
SetEnvIf Referer "^.*?\.yourdomain\.(com|net)\.au.*?$" NO_X_FRAME_OPTIONS 1
Header always unset X-Frame-Options env=NO_X_FRAME_OPTIONS
Header set X-Frame-Options "SAMEORIGIN" env=!NO_X_FRAME_OPTIONS
// Rest of config below...
</VirtualHost>
希望这有帮助! PS - 这也适用于所有不支持的浏览器。
答案 1 :(得分:0)
每个浏览器都不支持此选项: