Frame 防嵌策略：X-Frame-Options 与 CSP frame-ancestors

---

title: Frame 防嵌策略：X-Frame-Options 与 CSP frame-ancestors

keywords:

• X-Frame-Options
• frame-ancestors
• 点击劫持
• SAMEORIGIN
• DENY

description: 使用 X-Frame-Options 与 CSP 的 frame-ancestors 防止页面被未经授权的站点嵌入，治理点击劫持并提升安全性。

categories:

• 文章资讯
• 技术教程

---

概述

X-Frame-Options（DENY/SAMEORIGIN）与 CSP 的 frame-ancestors 控制页面可被哪些来源嵌入。建议采用 CSP 方案以获得更灵活的白名单与通配。

用法/示例

X-Frame-Options: SAMEORIGIN
Content-Security-Policy: frame-ancestors 'self' https://trusted.example

工程建议

• 在高风险页面启用严格策略，减少点击劫持风险；与 COOP/COEP 协作整体隔离。
• 统一在反向代理或网关下发策略，避免后端差异造成漏洞。
• 定期审计第三方嵌入需求与来源清单，确保策略准确。

参考与验证

• MDN：X-Frame-Options — https://developer.mozilla.org/docs/Web/HTTP/Headers/X-Frame-Options
• MDN：CSP frame-ancestors — https://developer.mozilla.org/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors