PHP设置X-Frame-Options头防护点击劫持

本文深入解析了如何在PHP中有效防护点击劫持攻击，指出已被弃用的X-Frame-Options头（如DENY、SAMEORIGIN）虽仍可临时使用，但存在兼容性差、策略僵化及与现代CSP冲突等隐患；真正推荐的是采用标准、灵活且可扩展的Content-Security-Policy frame-ancestors指令（如frame-ancestors 'self';），并强调必须全局覆盖所有响应路径（包括登录页、重置密码页、错误页等），结合Web服务器配置、框架中间件和输出缓冲注意事项，提供了一套兼顾向后兼容与面向未来的安全实践方案。

X-Frame-Options 已被现代浏览器逐步弃用，Content-Security-Policy 的 frame-ancestors 指令才是当前推荐的、更灵活且标准的点击劫持防护方式。PHP 中硬性设置 X-Frame-Options 虽仍能生效（尤其在旧环境），但存在覆盖冲突、语义局限和未来兼容风险。

PHP里怎么设置X-Frame-Options头？

用 header() 函数直接输出响应头即可，注意必须在任何输出（包括空格、BOM、echo）之前调用：

header('X-Frame-Options: DENY');

常见取值及含义：

• DENY：禁止任何页面嵌入本页（最严格）
• SAMEORIGIN：仅允许同源页面通过 /