在 IE11 上的 ms-word 插件中获取“HTTPS 安全性受到威胁”

Question

如标题所述，我在使用 x-frame-options: sameorigin

在 iframe 中显示我的页面时遇到问题

在寻找可能的解决方案时，我遇到了 x-frame-options: allow-from url，但没有任何区别。我的所有资源也通过 https 提供。 当同时使用 x-frame-options: sameorigin 和 X-Frame-Options: allow-from url 时，sameorigin header 被禁用。

此外，关于 x-frame-options 的文档找到 here:

# ALLOW-FROM uri 
This is an obsolete directive that no longer works in modern browsers. Don't use it. In 
supporting legacy browsers, a page can be displayed in a frame only on the specified origin 
uri. Note that in the legacy Firefox implementation this still suffered from the same problem 
as SAMEORIGIN did — it doesn't check the frame ancestors to see if they are in the same origin.
The Content-Security-Policy HTTP header has a frame-ancestors directive which you can use 
instead.

我目前已经为其他浏览器的支持实现了上述 frame-ancestors，例如。 Chrome、Safari 或 Firefox，但 IE11 不支持。这是一个安全层，我不想删除它以避免点击劫持。

有什么建议吗？

Answer 1

如问题中所述，我发现在附加另一个 x-frame-options header 时，sameorigin 被禁用。

所以我稍微修改了 header 并发现以下内容对 IE11 完美工作并且不影响其他浏览器：

res.set("X-Frame-Options", "SAMEORIGIN, ALLOW-FROM url");