X-Frame-Options 响应头
概述
为了防止点击劫持(clickjacking )漏洞,在访问Magento 2的时候增加了一个X-Frame-Options HTTP请求头
X-Frame-Options有一下三种:
-
DENY: 页面不能显示在frame中. -
SAMEORIGIN: (magento 2 的默认设置) -
ALLOW-FROM <uri>: 页面只能在指定的origin上显示
出于安全原因,Magento 2的强烈建议不要在frame中运行magento 2 页面.