RFC 7034 - HTTP 头字段 X-Frame-Options

类别: 信息性文档
发布时间: 2013年10月
作者: D. Ross (Microsoft), T. Gondrom (Thames Stanley)

Abstract (摘要)

为了改进 Web 应用程序对点击劫持 (clickjacking) 的防护, 本文档描述了 X-Frame-Options HTTP 头字段, 该字段声明了一项策略, 由服务器传达给客户端浏览器, 指示浏览器是否可以在其他网页的框架中显示所传输的内容。

Status of This Memo (本备忘录状态)

本文档不是互联网标准跟踪规范, 而是为了提供信息而发布的。

本文档是互联网工程任务组 (Internet Engineering Task Force, IETF) 的产品。它代表了 IETF 社区的共识。它已经接受了公开审查, 并已被互联网工程指导小组 (Internet Engineering Steering Group, IESG) 批准发布。并非所有由 IESG 批准的文档都是任何级别互联网标准的候选文档; 请参阅 RFC 5741 的第 2 节。

有关本文档的当前状态、任何勘误表以及如何提供反馈的信息, 可以在 http://www.rfc-editor.org/info/rfc7034 获取。

Copyright Notice (版权声明)

Copyright (c) 2013 IETF Trust 和被确认为文档作者的人员。保留所有权利。

本文档受 BCP 78 和 IETF 信托关于 IETF 文档的法律规定 (http://trustee.ietf.org/license-info) 的约束, 这些规定在本文档发布之日生效。请仔细阅读这些文档, 因为它们描述了您对本文档的权利和限制。从本文档中提取的代码组件必须包含简化 BSD 许可证文本, 如信托法律规定第 4.e 节所述, 并且按照简化 BSD 许可证中的描述提供, 不提供任何保证。

Contents

• 1. Introduction (简介)
  • 1.1 Requirements Language (需求语言)
• 2. X-Frame-Options Header (X-Frame-Options 头字段)
  • 2.1 Syntax (语法)
  • 2.2 Augmented Backus-Naur Form (ABNF) (增强巴科斯-诺尔范式)
    • 2.2.1 Examples of X-Frame-Options (X-Frame-Options 示例)
  • 2.3 Design Issues (设计问题)
    • 2.3.1 Enable HTML Content from Other Domains (启用来自其他域的 HTML 内容)
    • 2.3.2 Browser Behavior and Processing (浏览器行为和处理)
• 3. IANA Considerations (IANA 考虑)
  • 3.1 Registration Template (注册模板)
• 4. Security Considerations (安全考虑)
  • 4.1 Privacy Considerations (隐私考虑)
• 5. References (参考文献)
  • 5.1 Normative References (规范性引用)
  • 5.2 Informative References (信息性引用)