Vue 在IE9中兼容上传，安全提示＂X-Frame-Options头未设置＂

截止写稿，已经Vue在2.6.9的版本中已经支持IE9，不在需要  polyfills

说下问题

项目需要兼容到IE9，使用的是element的UI框架中的upload是无法实现上传文件，故改用jquery的ajaxsubmit去实现。

在IE9中提交成功以后success会返回一段HTML，并非后端返回的数据

经过排查

安全提示＂X-Frame-Options头未设置＂

这个问题用chrome测试就会提示这个错误

说下这个到底是个啥

X-Frame-Options 响应头

X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面，网站可以用这个头来保证他们的内容不会被嵌入到其它网站中，以来避免点击劫持。

危害：

攻击者可以使用一个透明的、不可见的iframe，覆盖在目标网页上，然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击iframe页面的一些功能性按钮上，导致被劫持。

X-Frame-Options 响应头

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 , 或者 中展现的标记。网站可以使用此功能，来确保自己网站的内容没有被嵌到别人的网站中去，也从而避免了点击劫持 (clickjacking) 的攻击。

划重点

---

使用 X-Frame-Options

X-Frame-Options 有三个值:

DENY

表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri

表示该页面可以在指定来源的 frame 中展示。

换一句话说，如果设置为 DENY，不光在别人的网站 frame 嵌入时会无法加载，在同域名页面中同样会无法加载。另一方面，如果设置为 SAMEORIGIN，那么页面就可以在同域名页面的 frame 中嵌套。

所以后端需要去设置响应头

Header always append X-Frame-Options SAMEORIGIN