参考安全防护-https://help.fanruan.com/finereport10.0/doc-view-2454.html

1）功能简介

点击劫持（ClickJacking）是一种视觉上的欺骗手段。

• 攻击者使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。

• 攻击者使用一张图片覆盖在网页，遮挡网页原有位置的含义。

The X-Frame-Options HTTP 响应头是用来给浏览器 指示允许一个页面 可否在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面，从而避免 clickjacking 攻击。

注：如果使用跨域 iframe 的方式嵌入报表，出现无法访问的情况，请关闭 Security Headers 高级设置中的「点击劫持攻击防护」按钮。

2）设置方法

开启后，请求头部默认增加X-Frame-Options:SAMEORIGIN设置。

超级管理员可通过「fine_conf_entity可视化配置插件」修改策略。

注：修改 FineDB 数据库表字段值的方法请参考 FineDB 常用表字段修改 。