这个响应头主要用来确认是否浏览器可以在frame或者iframe标签中渲染一个页面。网站可以用这个头保证他们的内容不会被嵌入到其他网站中,以避免站点被劫持(csrf攻击)。
危害: 攻击者可以使用一个透明的,不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上操作,此时用户将在不知情 的情况下点击透明的iframe页面,通过调整iframe页面位置,可以诱使用户恰好点击iframe页面上的一些攻击性按钮。

X-Frame-Options: DENY

由于在iframe.html中

  1. <!DOCTYPE html>
  2. <html>
  3.     <head>
  4.         <title>iframe</title>
  5.         <meta charset="UTF-8">
  6.         <meta name="viewport" content="width=device-width, initial-scale=1.0">
  7.     </head>
  8.     <body>
  9.         <iframe src="http://192.168.170.164/home.jsp"></iframe>
  10.     </body>
  11. </html>

会加载home.jsp。于是当用户从index.jsp登录成功之后跳转到home.jsp之后,会显示登录成功的状态。这样就造成了CSRF漏洞。可能引起点击劫持攻击。
于是在home.jsp 的响应头中加入以下设置:

response.setHeader("X-Frame-Options","DENY")

这样用户即便在原来的home.jsp中不退出,而另外开启一个iframe.html页面的时候,也会因为这句话而不能加载home.jsp.

X-Frame-Options: sameorigin

然而存在需要使用iframe的情景。在此种情景下,可以使用sameorigin这个值。将之前的DENY换成sameorigin(大小写不敏感)。则可以成功加载。这种情况对同源(origin)是可以加载的。而对不同源则不能加载(具体不能加载的情况可以查看console)。