9. 什么是点击劫持保护（X-Frame-Options）？

点击劫持（Clickjacking）是一种攻击技术，攻击者通过在网页上叠加透明的或不可见的恶意内容，诱使用户误点击或操作一些敏感的功能，从而实现攻击目的，如执行恶意操作、窃取用户信息等。点击劫持攻击可以通过修改页面样式、使用透明iframe等手段来隐藏恶意操作。

为了防范点击劫持攻击，可以使用 HTTP 头字段 X-Frame-Options 来提供点击劫持保护。X-Frame-Options 可以告知浏览器如何处理网页的嵌入和显示，从而阻止恶意网站将受害者的网页嵌入到自己的页面中。

X-Frame-Options 响应头有三个可选值：https://www.nowcoder.com/issue/tutorial?zhuanlanId=Mg58Em&uuid=bb7c8339fae245258616366baf13e19e

DENY：拒绝所有页面嵌入，无论是同源还是非同源网站都无法嵌入。

SAMEORIGIN：允许同源网站嵌入，但不允许非同源网站嵌入。

ALLOW-FROM uri：允许特定来源的网站嵌入，uri 表示允许嵌入的网站地址。例如，ALLOW-FROM https://www.example.com 表示只允许 https://www.example.com 这个网站嵌入页面。