語法
# 請將以下這行新增至 apache 設定中,如:httpd.conf,並記得重啟
Header always append X-Frame-Options SAMEORIGIN
說明
透過 X-Frame-Options 指令可以限制頁面嵌入 iframe 防止點擊劫持攻擊,例如攻擊者可以誘使訪問者在頁面上進行操作以竊取數據,包含點擊廣告或竊取密碼等,透過 X-Frame-Options 響應標頭可以限制或指定特定主機嵌入網頁。可使用的選項有兩種,如下:
- DENY:限制所有網域,包含自家網站
- SAMEORIGIN:僅允許在相同網域中被嵌入
一般建議使用 SAMEORIGIN,如果使用 DENY ,那麼雖然不會被其他網站加載 iframe,但自己家也會無法使用,因此如果自己的網站有用到 iframe,則需改用 SAMEORIGIN。
如何檢查
打開瀏覽器按 F12 > Network(網路),點選該網頁檔案找到 X-Frame-Options 這行即代表已成功啟用。