iframe在Web开发中常被用于嵌入外部页面或内容，但其使用也伴随着一定的安全风险。以下是关于iframe安全性的几个关键点：

设置X-Frame-Options头部：在网站的响应头中添加X-Frame-Options标头，可以设置为DENY（禁止所有网站嵌入iframe）或SAMEORIGIN（只允许同源网站嵌入iframe），以防止点击劫持。
使用CSP：通过CSP的frame-ancestors指令来指定哪些网站可以嵌入当前网站的内容。

综上所述，iframe的安全性需要从多个方面进行考虑和防护。通过合理的配置和防护措施，可以有效降低iframe带来的安全风险。

前端安全 面试题

前端安全面试题