---

title: Clickjacking防护：CSP frame-ancestors与X-Frame-Options

keywords:

• Clickjacking
• CSP
• frame-ancestors
• X-Frame-Options
• 嵌入防护

description: 通过 CSP 的 frame-ancestors 与 X-Frame-Options 头限制页面被不可信站点嵌入，降低点击劫持风险。

categories:

• 文章资讯
• 技术教程

---

Clickjacking防护：CSP frame-ancestors与X-Frame-Options

概览

点击劫持通过隐藏层与不可信嵌入诱导用户误操作。正确的响应头能有效防护。

技术参数（已验证）

• frame-ancestors：指定允许嵌入的来源，优先使用 CSP 控制。
• X-Frame-Options：DENY/SAMEORIGIN 老方案，兼容旧浏览器。
• 组合策略：结合 Content-Security-Policy 与白名单，减少误伤。

实战清单

• 默认禁止嵌入，仅对受信域开放，配合 SRI 与 CORS。
• 监控 frame-ancestors 命中与误报，迭代策略。