nginx配置内嵌网页

在开发工具时候，想内嵌别的网页，这时候需要别的网页进行配置，如果想要支持所有网站都可以内嵌显示您的网站，有以下几种配置方式：

1. 完全移除 X-Frame-Options

最简单的方法是直接不设置这个头部：

server {# 不添加 X-Frame-Options 头部# 或者注释掉/删除现有的配置# add_header X-Frame-Options "SAMEORIGIN";
}

2. 明确设置为允许所有

为了明确意图，可以设置一个空的或允许所有的值：

server {# 方法1：设置为空（允许所有）add_header X-Frame-Options "" always;# 方法2：完全移除这个头部# 不设置任何 X-Frame-Options
}

3. 使用 Content-Security-Policy

现代浏览器更推荐使用 Content-Security-Policy：

server {# 允许所有网站嵌入add_header Content-Security-Policy "frame-ancestors *;" always;# 如果需要，可以同时移除旧的 X-Frame-Options# 或者保留但设置为允许
}

4. 完整的安全配置示例

即使允许嵌入，也建议保持其他安全头部：

server {listen 80;server_name example.com;# 嵌入控制：允许所有网站嵌入add_header Content-Security-Policy "frame-ancestors *;" always;# 其他安全头部（保持安全）add_header X-Content-Type-Options "nosniff" always;add_header X-XSS-Protection "1; mode=block" always;add_header Referrer-Policy "strict-origin-when-cross-origin" always;location / {root /var/www/html;index index.html;}
}

5. 条件性配置

如果只想对特定路径允许嵌入：

server {# 默认禁止嵌入add_header X-Frame-Options "DENY" always;# 特定路径允许所有网站嵌入location /embed/ {add_header X-Frame-Options "" always;add_header Content-Security-Policy "frame-ancestors *;" always;# 其他配置...}# 其他路径保持禁止location / {add_header X-Frame-Options "DENY" always;}
}

6. 验证配置

配置后检查并重载：

# 检查语法
sudo nginx -t# 重载配置
sudo nginx -s reload# 验证头部
curl -I http://your-domain.com/

最简配置

最简单的实现方式：

server {# 不设置 X-Frame-Options# 或者设置 CSP 允许所有add_header Content-Security-Policy "frame-ancestors *;" always;
}

这样配置后，您的网站就可以被任何其他网站通过 iframe 嵌入了。

https://eco.dameng.com/