Как установить параметры X-Frame для ALLOW-FROM https://example.com и SAMEORIGIN на сервере
У меня есть требование установить параметры X-Frame на уровне сервера либо:
- X-Frame-опции: SAMEORIGIN
- X-Frame-Options: разрешить-от https://example.com/
поймите, что опции X-Frame являются взаимоисключающими. См.здесь.
однако мое приложение требует кадрирования в https://example.com и также от его SAMEORIGIN.
пожалуйста, сообщите, если есть способ обойти это, сохраняя при этом требование моего приложения к разрешению кадрирования на такое же происхождение и быть оформлена на 1 внешний сайт.
или это невозможно?
2 ответов
в дополнение к поддержке только одного экземпляра заголовка,X-Frame-Options
не поддерживает более одного сайта,SAMEORIGIN
или нет.
вам придется использовать Content-Security-Policy
и frame-ancestors
, который поддерживает несколько источников, например:
Content-Security-Policy: frame-ancestors 'self' https://example.com
пару заметок, чтобы иметь в виду:
-
frame-ancestors
заменяетX-Frame-Options
- это означает, что еслиframe-ancestors
присутствует и браузер поддерживает его, он будет переопределять поведениеX-Frame-Options
. - Internet Explorer и Edge в настоящее время не поддерживают
У меня было аналогичное требование и я обращался в мировой.асакс. я проверил, откуда поступает запрос, и на основе этого я изменил значение заголовка на sameorigin или allow-from. надеюсь, это поможет.