了解HTTP标头X-Frame-Options

Question

关于X帧选项( X-Frame-Options，https://developer.mozilla.org/en-US/docs/The_X-FRAME-OPTIONS_response_header)，我很难解析文档的内容和我看到的内容。我的理解是，当页面返回SAMEORIGIN时，如果包含IFRAME的页面来自相同的域，浏览器将只加载框架的内容。

我有三台机器。当我登录到服务器A时，我导航到服务器A上托管的页面。它包含一个从SERVER-B加载页面的IFrame，但它位于不同的域中。这都行得通..。但是，当我转到SERVER-C并浏览到相同的页面(从SERVER-A提供)时，它不会加载。查看IE调试工具，该IFramed页面的请求显示为aborted状态。

想法？

Answer 1

这就像你在服务器C中所期望的那样工作--你已经在X- iFrame选项中声明了这个框架不应该从不同的域加载一个页面，它确实没有。这个安全策略不适用于从本地主机加载的页面，这听起来就像是你在服务器A上发生的事情，类似于this situation。

您还没有说您已经将X-Frame-Options应用到了哪些页面上:它位于iFrame中的页面上(即在您的设置中的服务器B上)，这很重要。我不认为将头文件应用到服务器A会有什么不同。