可以使用 X-Frame-Options HTTP 响应头,来防御点击劫持。 X-Frame-Options 可以有以下这些值: X-Frame-Options: deny X-Frame-Options: sameorigin X-Frame-Options: allow-fromhttps://example.com/ 具体说明如下: 在nginx 中这样配置,可以确保 frame 中加载的页面是在同域名下: add_header X-Frame-Options ...