我正在为X-Frame-Options实现一个“传递”,以让合作伙伴网站将我的雇主的网站包装在iframe中,如下所示: http : //blogs.msdn.com/b/ieinternals/archive/ 2010/03/30 /打击-点击劫持与- X框-options.aspx (分割URLS发布) 简而言之,我们合作伙伴的网页上有一个iframe,其中包含一个针对我们网域的url。 对于我们域中的任何页面,他们都会添加一个特殊的url参数,比如&@mykey=topleveldomain.com ,告诉我们页面的顶级域名是什么。 我们的filter会从URL中提取合作伙伴的TLD(如果提供),并根据白名单进行validation。 如果它在列表中,我们将X-Frame-Options标头的值为ALLOW-FROM topleveldomain.com (并为将来的点击添加一个cookie)。 如果它不在我们的白名单上,我们运送SAMEORIGIN或DENY 。 问题是它看起来像发送ALLOW-FROM domain结果一样没有运行最新的Firefox和谷歌浏览器。 IE8,至less,似乎是正确实施ALLOW-FROM 。 看看这个页面: http : //www.enhanceie.com/test/clickjack 。 在第5(5)箱“应该显示内容”之后,是一个不应该显示内容的框,但它是。 在这种情况下,iframe中的页面正在发送X-Frame-Options: ALLOW-FROM http://www.debugtheweb.com ,这是一个与http://www.enhanceie.com不同的TLD。 然而,框架仍然显示内容。 任何有关X-Frame-Options是否真正通过相关(桌面)浏览器的ALLOW-FROM实现的见解? 也许语法已经改变了? 一些感兴趣的链接: 在x-frame-options上草拟rfc: http : //tools.ietf.org/html/draft-gondrom-frame-options-01 developer.mozilla文章讨论标题作为2选项标题(sameorigin或拒绝)。 https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options 发起整个事情的MSDN博客: http : //blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx MSDN博客,谈到3个值:添加允许来源http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx