frame-ancestors 与 X-Frame-Options：防点击劫持的现代实践

概述点击劫持通过将页面隐式嵌入到恶意站点的 `<iframe>` 中诱导用户误操作。`frame-ancestors` 提供现代且更灵活的嵌入控制，替代已弃用的 `X-Frame-Options`。差异与选择（已验证）frame-ancestors：CSP 指令，支持来源列表（`'self'`、具体域名、`none`）与协议/子域匹配（来源）X-Frame-Options：旧机制（`DENY`/`SAMEORIGIN`/`ALLOW-FROM`），兼容性较好但功能受限（来源）现代推荐：以 `frame-ancestors` 为主，保留 `X-Frame-Options: SAMEORIGIN` 兼容旧 UA示例Content-Security-Policy: frame-ancestors 'self' https://portal.example.com; X-Frame-Options: SAMEORIGIN 实施建议白名单最小化：仅允许确需嵌入的受信来源差异化策略：敏感路径使用 `frame-ancestors 'none'`验证：对嵌入页与父页联测，避免业务中断