我需要阻止\允许我的应用程序的某些请求(取决于请求的来源),如果它被嵌入到iframe中。 在这种情况下是否有可能有用的标题?
答案 0 :(得分:0)
您可以禁止将网页包含在现有浏览器的框架中,其http标头为X-Frame-Options DENY
或X-Frame-Options SAMEORIGIN
。除此之外,您无法检测页面是在帧中还是在服务器端。您可以在js中检查客户端:window.self !== window.top
如果您正在尝试阻止点击劫持,建议的方法是nounce。