X-Frame-Options 不阻止 iframe

Question

我已将 Apache 中的 X-Frame-Options header 设置为拒绝。响应 header 已正确发送到浏览器（见图）。我刚刚创建了一个简单的 HTML 文件，它加载了一个没有任何问题的 iframe。我还检查了 Chrome devtools 和响应 header returns “x-frame-options: DENY”。我假设 header 会阻止加载所有 iframe？

X-Frame-Options Response

Full Response Header

Answer 1

请不要发送 Access-Control-Allow-Origin 来响应。那可以解决你的问题

Answer 2

不是真的。 X-Frame-Options: DENY 阻止您的页面在 iframe.

中加载

X-Frame-Options: SAMEORIGIN - 将仅阻止从其他域加载。

它对当前页面上的 iframe 没有任何作用。

The X-Frame-Options HTTP response header can be used to indicate whether or not a browser should be allowed to render a page in a , ,

来源：https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options