Как установить параметры X-Frame для ALLOW-FROM https://example.com и SAMEORIGIN на сервере

У меня есть требование установить параметры X-Frame на уровне сервера либо:

поймите, что опции X-Frame являются взаимоисключающими. См.здесь.

однако мое приложение требует кадрирования в https://example.com и также от его SAMEORIGIN.

пожалуйста, сообщите, если есть способ обойти это, сохраняя при этом требование моего приложения к разрешению кадрирования на такое же происхождение и быть оформлена на 1 внешний сайт.

или это невозможно?

2 ответов


в дополнение к поддержке только одного экземпляра заголовка,X-Frame-Options не поддерживает более одного сайта,SAMEORIGIN или нет.

вам придется использовать Content-Security-Policy и frame-ancestors, который поддерживает несколько источников, например:

Content-Security-Policy: frame-ancestors 'self' https://example.com

пару заметок, чтобы иметь в виду:

  • frame-ancestors заменяет X-Frame-Options - это означает, что если frame-ancestors присутствует и браузер поддерживает его, он будет переопределять поведение X-Frame-Options.
  • Internet Explorer и Edge в настоящее время не поддерживают

У меня было аналогичное требование и я обращался в мировой.асакс. я проверил, откуда поступает запрос, и на основе этого я изменил значение заголовка на sameorigin или allow-from. надеюсь, это поможет.