Как установить параметры X-Frame для ALLOW-FROM https://example.com и SAMEORIGIN на сервере

Question

Как установить параметры X-Frame для ALLOW-FROM https://example.com и SAMEORIGIN на сервере

У меня есть требование установить параметры X-Frame на уровне сервера либо:

X-Frame-опции: SAMEORIGIN

X-Frame-Options: разрешить-от https://example.com/

поймите, что опции X-Frame являются взаимоисключающими. См.здесь.

однако мое приложение требует кадрирования в https://example.com и также от его SAMEORIGIN.

пожалуйста, сообщите, если есть способ обойти это, сохраняя при этом требование моего приложения к разрешению кадрирования на такое же происхождение и быть оформлена на 1 внешний сайт.

или это невозможно?

9

iframe webserver x-frame-options

автор: user3188291

2 ответов

автор: Adaline Valentina Simonian · Accepted Answer · 2017-07-26 19:13:01

в дополнение к поддержке только одного экземпляра заголовка,X-Frame-Options не поддерживает более одного сайта,SAMEORIGIN или нет.

вам придется использовать Content-Security-Policy и frame-ancestors, который поддерживает несколько источников, например:

Content-Security-Policy: frame-ancestors 'self' https://example.com

пару заметок, чтобы иметь в виду:

frame-ancestors заменяет X-Frame-Options - это означает, что если frame-ancestors присутствует и браузер поддерживает его, он будет переопределять поведение X-Frame-Options.
Internet Explorer и Edge в настоящее время не поддерживают

автор: dheeraj ahuja · Accepted Answer · 2017-11-28 11:20:02

У меня было аналогичное требование и я обращался в мировой.асакс. я проверил, откуда поступает запрос, и на основе этого я изменил значение заголовка на sameorigin или allow-from. надеюсь, это поможет.