如何在服务器上将 X-Frame 选项设置为 ALLOW-FROM https://example.com 和 SAMEORIGIN
How to set X-Frame Options to ALLOW-FROM https://example.com and SAMEORIGIN on server
我需要将 服务器级别 上的 X-Frame 选项设置为:
- X-Frame-Options: SAMEORIGIN
- X-Frame-Options: ALLOW-FROM https://example.com/
了解 X-Frame 选项是相互排斥的。参见 here。
但是,我的应用程序需要在 https://example.com 和 SAMEORIGIN.
中取景
请告知是否有解决此问题的方法,同时保留我的应用程序允许在 相同来源 上取景并在 1 外部网站上取景的要求.
或者这是不可能的?
除header只支持一个实例外,X-Frame-Options不支持任何一个站点,SAMEORIGIN与否。
您必须使用 Content-Security-Policy 和 frame-ancestors,它们支持多个来源,如下所示:
Content-Security-Policy: frame-ancestors 'self' https://example.com
需要牢记的几点注意事项:
frame-ancestors obsoletes X-Frame-Options - 意思是如果 frame-ancestors 存在并且浏览器支持它,它将覆盖 X-Frame-Options.- Internet Explorer 和 Edge 当前不支持
frame-ancestors 指令,according to MDN. This means they will fall back to X-Frame-Options. If you need to support multiple origins in IE or Edge, see this answer on SO with a workaround。
我有类似的要求,我在 global.asax 中处理了。我检查了请求的来源,并据此将 header 值更改为 sameorigin 或 allow-from。希望有帮助。
我需要将 服务器级别 上的 X-Frame 选项设置为:
- X-Frame-Options: SAMEORIGIN
- X-Frame-Options: ALLOW-FROM https://example.com/
了解 X-Frame 选项是相互排斥的。参见 here。
但是,我的应用程序需要在 https://example.com 和 SAMEORIGIN.
中取景请告知是否有解决此问题的方法,同时保留我的应用程序允许在 相同来源 上取景并在 1 外部网站上取景的要求.
或者这是不可能的?
除header只支持一个实例外,X-Frame-Options不支持任何一个站点,SAMEORIGIN与否。
您必须使用 Content-Security-Policy 和 frame-ancestors,它们支持多个来源,如下所示:
Content-Security-Policy: frame-ancestors 'self' https://example.com
需要牢记的几点注意事项:
frame-ancestorsobsoletesX-Frame-Options- 意思是如果frame-ancestors存在并且浏览器支持它,它将覆盖X-Frame-Options. 的行为
- Internet Explorer 和 Edge 当前不支持
frame-ancestors指令,according to MDN. This means they will fall back toX-Frame-Options. If you need to support multiple origins in IE or Edge, see this answer on SO with a workaround。
我有类似的要求,我在 global.asax 中处理了。我检查了请求的来源,并据此将 header 值更改为 sameorigin 或 allow-from。希望有帮助。