Can I use
?

X-Frame-Options HTTP 標頭

- 其他

HTTP 標頭,用於指示瀏覽器是否允許網頁顯示在另一個網頁內的框架中。用於防禦點擊劫持攻擊。

Chrome

  1. 4 - 25: 支援未知
  2. 26 - 123: 部分支援
  3. 124: 部分支援
  4. 125 - 127: 部分支援

Edge

  1. 12 - 18: 支援
  2. 79 - 123: 部分支援
  3. 124: 部分支援

Safari

  1. 3.1 - 5: 支援未知
  2. 5.1 - 17.3: 部分支援
  3. 17.4: 部分支援
  4. 17.5 - TP: 部分支援

Firefox

  1. 2 - 3.6: 支援未知
  2. 4 - 17: 部分支援
  3. 18 - 69: 支援
  4. 70 - 124: 部分支援
  5. 125: 部分支援
  6. 126 - 128: 部分支援

Opera

  1. 9 - 11.5: 支援未知
  2. 11.6 - 108: 部分支援
  3. 109: 部分支援

IE

  1. 5.5 - 7: 不支援
  2. 8 - 10: 支援
  3. 11: 支援

Chrome for Android

  1. 124: 部分支援

Safari on iOS

  1. 3.2 - 6.1: 支援未知
  2. 7 - 17.3: 部分支援
  3. 17.4: 部分支援
  4. 17.5: 部分支援

Samsung Internet

  1. 4 - 23: 部分支援
  2. 24: 部分支援

Opera Mini

  1. all: 不支援

Opera Mobile

  1. 10 - 12: 支援未知
  2. 12.1: 部分支援
  3. 80: 部分支援

UC 瀏覽器 for Android

  1. 15.5: 部分支援

Android 瀏覽器

  1. 2.1 - 3: 支援未知
  2. 4 - 4.4.4: 部分支援
  3. 124: 部分支援

Firefox for Android

  1. 125: 部分支援

QQ 瀏覽器

  1. 14.9: 部分支援

百度瀏覽器

  1. 13.52: 部分支援

KaiOS 瀏覽器

  1. 2.5: 已支援
  2. 3: 部分支援

部分支援是指不支援 ALLOW-FROM 選項。X-Frame-Options 標頭已由內容安全政策第 2 層中的 frame-ancestors 指令 取代

資源
IE8 安全性第 VII 部分:ClickJacking 防禦 - IEBlog
使用 X-Frame-Options 對抗 ClickJacking - IEInternals
MDN 網路文件 - X-Frame-Options
X-Frame-Options 相容性測試
OWASP Clickjacking 防禦秘笈