我正在尝试阻止对不使用任何iframe的应用程序进行点击劫持。在阅读时我理解X-Frame-Options应设置为拒绝。但是,我不知道该怎么做呢?
是否应创建过滤器?还是在javscript中完成? ]这个应用程序有几个控制器?控制器是否必须将标头添加到响应中?
答案 0 :(得分:-1)
X-Frame-Options是一个HTTP标头,它是在文档的HTTP响应(HTML或其他)上设置的。
由于它是由HTTP Server设置的,因此它的实现高度依赖于服务器体系结构。它可能可以按内容类型进行全局设置,也可能需要为每个文件或路由设置特定设置。这一切都取决于具体情况。