X帧头 - 我可以输出默认页面吗？

Question

我有一个小问题，X-FRAME-Options HTTP头。

我有一个X-FRAME头，指出：

Header always append X-Frame-Options SAMEORIGIN 

我发现链接（在一帧）回到我的网站时，这只是显示一个空白页，这是什么的预期。但是我希望理想地能够为占位符页面提供服务，以解释我的网站无法在其他人的框架中看到的最终用途。

更像是热链接图像的人可以被提供拒绝/占位符图像。

我找到了here这种东西的一些指南，但这使用Java和我的服务器是LAMP。

我可以为非SameOrigin页面设置输出默认网页，该页面通过框架调用我的网站吗？在the RFC中没有关于此的内容。

Answer 1

不，你不能这样做。

我认为这样做的唯一方法是删除该特定页面的标题，然后可能使用一些JavaScript重定向，如果它确认它不是首页。但是它有自己的风险（例如禁用JavaScript的用户）。

但是，这不是更多的问题与该网站试图框架您的网站？如果他们从外部站点（例如您的站点）构建页面，那么他们总是冒险，如果发生这种情况，无论如何，这样做有点厚颜无耻（还有安全风险）。我没有看到你如何防止这种情况在你的网站上反映不佳（或者至少比“抱歉，我们不允许框架”的消息更糟糕）。