X幀頭 - 我可以輸出默認頁面嗎？

Question

我有一個小問題，X-FRAME-Options HTTP頭。

我有一個X-FRAME頭，指出：

Header always append X-Frame-Options SAMEORIGIN 

我發現鏈接（在一幀）回到我的網站時，這只是顯示一個空白頁，這是什麼的預期。但是我希望理想地能夠爲佔位符頁面提供服務，以解釋我的網站無法在其他人的框架中看到的最終用途。

更像是熱鏈接圖像的人可以被提供拒絕/佔位符圖像。

我找到了here這種東西的一些指南，但這使用Java和我的服務器是LAMP。

我可以爲非SameOrigin頁面設置輸出默認網頁，該頁面通過框架調用我的網站嗎？在the RFC中沒有關於此的內容。

Answer 1

不，你不能這樣做。

我認爲這樣做的唯一方法是刪除該特定頁面的標題，然後可能使用一些JavaScript重定向，如果它確認它不是首頁。但是它有自己的風險（例如禁用JavaScript的用戶）。

但是，這不是更多的問題與該網站試圖框架您的網站？如果他們從外部站點（例如您的站點）構建頁面，那麼他們總是冒險，如果發生這種情況，無論如何，這樣做有點厚顏無恥（還有安全風險）。我沒有看到你如何防止這種情況在你的網站上反映不佳（或者至少比「抱歉，我們不允許框架」的消息更糟糕）。