使用'X-Frame-Options‘的点击劫持保护？

Question

我想使用X-Frame-Options为我的网站添加点击劫持保护。我的网站中有几个页面显示在一个框架中，所以我想保护它们，但同时又要正确地呈现它们。据我所知，我需要在X-Frame-Options值中使用SAMEORIGIN选项。但是SAMEORIGIN到底是什么意思呢？是不是指的是同一个网站？我发现的官方描述并不是很清楚两个页面共享相同的“来源”是什么意思……这里有人能帮我一下吗？谢谢!

Answer 1

“源”是网站的scheme+host+port。也就是说，http://example.com/的起源是(http, example.com, 80)。https://example.com/是一个不同的起源，即(https, example.com, 443)。

对于从http://example.com/提供的页面，将x-frame-options标头设置为SAMEORIGIN意味着只有http://example.com/上的其它页面才能在框架中加载该页面。

Answer 2

使用X-Frame-Options customHeaders -向web.config添加多个uri/域？

solution ->将其添加到您的web.config中

 <httpProtocol>
        <customHeaders>
<add name="Content-Security-Policy" value="frame-ancestors 'self' website1.com website2.com;"/>
 </customHeaders>
      </httpProtocol>