iframe能够帮忙咱们在一个网页中嵌套另一个网页(比方:jquery我的项目中嵌套react页面),它的用法咱们以理论例子阐明:

在本地写了一个index.html,应用http-server启动服务:

<!DOCTYPE html><html lang="en"><head>  <meta charset="UTF-8">  <meta name="viewport" content="width=device-width, initial-scale=1.0">  <title>Document</title></head><body>  <iframe src="http://47.111.228.207:8080/#/pageA" frameborder="0" width="100%" height="1000" scrolling="no"></iframe></body></html>

在index.html中咱们嵌套了一个iframe,指向我之前部署在服务器上的react页面(http://47.111.228.207:8080/#/pageA)

当初浏览器关上http://localhost:8080/

能够看到曾经胜利的将react页面嵌套进去了。

然而,问题也进去了,http://47.111.228.207:8080/#/pageA这个页面能够被任意的劫持应用,如果被钓鱼网站应用,植入一些小广告或者其余的,那么这些危险都会影响咱们网站的性能以及安全性。

那么,如何去躲避这些危险呢?

常见形式是在apache 或者 tomcat服务器上配置X-Frame-Options响应头

X-Frame-Options
是为了缩小点击劫持(Clickjacking)而引入的一个响应头,这个响应头反对三种配置:

  • DENY:不容许被任何页面嵌入;
  • SAMEORIGIN:不容许被本域以外的页面嵌入;
  • ALLOW-FROM uri:不容许被指定的域名以外的页面嵌入(Chrome现阶段不反对);

咱们来试试如何在tomcat配置响应头:

参考:
https://www.pianshen.com/arti...
https://www.cnblogs.com/wdnnc...
https://developer.mozilla.org...