更改 X-Frame-Options 以允许所有域

Change the X-Frame-Options to allow all domains

我正在尝试将我的某个站点用作我的其他站点的 iframe

我的问题是 - 另一个网站总是不断地更改他的 IP 地址并且没有域名。

因此,我了解到您可以通过将此 lint 添加到 /etc/nginx/nginx.conf:

来分配特定域
 add_header X-Frame-Options "ALLOW-FROM https://subdomain.example.com/";

我的问题是:是否可以允许我的站点作为 iframe 从所有 IP 地址和域导入?我应该写什么才能实现这个目标?

我正在使用 Ubuntu 16.04 和 nginx 1.10.0。

如果设置,则只能设置为DENY、SAMEORIGIN或ALLOW-FROM(特定来源)。

默认允许所有域。如果需要,根本不要设置 X-Frame-Options header。

请注意,X-Frame-Options 的后继者 — CSP's frame-ancestors directive — 接受允许来源的 列表 ,因此您可以轻松地允许 一些 起源而不是 none,一个或全部。

ALLOWALL 是默认值。

有时 Rails、Laravel、Django 等框架 MVC,将 X_FRAME_OPTIONS 设置为 SAMEORIGIN,因此有人可能需要将其重置为原点 ALLOWALL值。

那么你可以从服务器上查看远程主机的IP地址。然后,您可以发送 X-Frame-Options 响应 HTTP header,其值为:"Allow-From ip-address",其中 ip 地址是试图在您的服务器上嵌入内容的远程 ip 地址。这将允许您的网站被所有使用浏览器的 ip 地址访问的网站嵌入。

另一种选择是将内容嵌入 iframe 并在 iframe 源中包含域名 url。域名参数可以被服务器读取并包含在X-Frame-Options响应中header.