X-Frame-Options 响应头设置

上次搭建网站遇到这个问题，所以在此做以记录。以便后边有像我这样的菜鸟不知道如何处理。

修改web服务器配置，添加X-frame-options响应头。赋值有如下三种：

（1）DENY：不能被嵌入到任何iframe或frame中。

（2）SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中。

（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。

防止某些重要网页被其他网站框架导入，可以给页面增加X-Frame-Options响应头，这样浏览器会依据X-Frame-Options的值来控制iframe框架的页面是否允许加载显示出来，IE下的效果如下（此内容无法再框架中显示。为了帮助保护在此网站中输入的信息安全，此内容的发行者不允许在框架中显示该信息），其他非IE核心浏览器会显示空白内容。

动态页添加X-Frame-Options响应头代码在此详细附上设置过程

1>开启Apache的扩展headers_module，

2>在Apache配置文件的空白行加上一下代码：

Header always append X-Frame-Options SAMEORIGIN

完成以上部分，重启Apache服务即可审查页面出现如下代码表示设置成功

好了！大功告成。