您可能希望允許將您的網站嵌入到不同案例的 iframe 中(例如,使用您的網站創建模板頁面)。 允許將網站載入其他網站的 iframe 內,可能會允許惡意行為者使用您的網站和品牌,誘騙訪客點擊錯誤的連結或將資料提交給外部來源。 只有在您希望將網站載入 iframe 時,才啟用此選項。
警告
默認情況下,將您的網站加載到另一個站點的 iframe 中的功能被禁用。 我們建議您不要變更預設值,除非您的特定網站是強制性的。 允許在 2020 年 4 月 5 日之前建立的網站顯示在 iframe 中。
要啟用在 iframe 中加載站點的功能:
- 在左側面板中,按一下 [設定],然後按一下 [網站 SSL]。
- 按 一下「允許在 iframe 中載入網站 」切換按鈕。
安全性設定
已實作下列安全性設定,以通知瀏覽器網站不應載入 iframe 內部:
- X 幀選項:同源
- 內容安全政策:框架祖先「自我」
x-frame 選項 設置是原始版本,而 內容安全策略 是一個較新的設置,尚未完全支持所有瀏覽器。 這些告訴瀏覽器,該網站不應該在 iframe 中加載。
依預設,這些設定會實作開箱即用的最佳安全性做法。 默認情況下,允許站點不在 iframe 中加載是防止站點用於 Click Jacking 的一小步。 ClickJacking 是惡意用戶在某個框架內加載網站的地方,同時使用該網站的設計來嘗試讓用戶傳遞可以被攔截或收集的個人信息。