X-Frame-Options
Clickjacking-Schutz
X-Frame-Options: ALLOW-FROM https://example.com/
Dies ist eine veraltete Direktive, die in modernen Browsern nicht mehr funktioniert.
Die Verwendung ergibt das gleiche Verhalten wie das Weglassen
Verwenden Sie es nicht.
X-Frame-Options DENY
kein Rendering in einem Frame
Wenn Sie angeben DENY, schlägt der Browserversuch, die Seite in einem Frame zu laden,
nicht nur fehl, wenn er von anderen Sites geladen wird,
sondern schlägt auch fehl, wenn er von derselben Site geladen wird.
X-Frame-Options SAMEORIGIN
Wenn Sie andererseits angeben SAMEORIGIN,
Nur dann kein Rendering, falls die Herkunft falsch ist.
können Sie die Seite immer noch in einem Frame verwenden,
solange die Site, die sie in einem Frame enthält,
dieselbe ist wie die, die die Seite bereitstellt.
Beispiel:
X-Frame-Options ALLOW-FROM https://example.com/
X-Frame-Options DENY
X-Frame-Options SAMEORIGIN