Frame 防嵌策略：X-Frame-Options 与 CSP frame-ancestors

概述

X-Frame-Options（DENY/SAMEORIGIN）与 CSP 的 frame-ancestors 控制页面可被哪些来源嵌入。建议采用 CSP 方案以获得更灵活的白名单与通配。

用法/示例

X-Frame-Options: SAMEORIGIN
Content-Security-Policy: frame-ancestors 'self' https://trusted.example

工程建议

• 在高风险页面启用严格策略，减少点击劫持风险；与 COOP/COEP 协作整体隔离。
• 统一在反向代理或网关下发策略，避免后端差异造成漏洞。
• 定期审计第三方嵌入需求与来源清单，确保策略准确。

参考与验证

• MDN：X-Frame-Options — https://developer.mozilla.org/docs/Web/HTTP/Headers/X-Frame-Options
• MDN：CSP frame-ancestors — https://developer.mozilla.org/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors