大佬教程收集整理的这篇文章主要介绍了拒绝在框架中显示 xyz,因为它设置了 X-Frame-Options - 我可以设置允许的域吗?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在整理一个即将进行渗透测试的网站,我们被要求将 x-frame-options 标头添加到我们的服务器配置中。添加以下标题时,它会在我们使用 iframe 的 console.log 中给我一条错误消息
-- Nginx 头文件 --
add_header 'x-frame-options' "SAMEORIGIN";
-- 错误 --
`拒绝在框架中显示“https://API.domain.com/”,因为它将“x-frame-options”设置为“sameorigin”。
显然我理解这个标头的安全原因,但我们的网站有一个我们根本无法更改的 iframe,它位于不同的域中,例如 oldapp.domain.com
而不是 API.domain.com
。
我本来可以使用 ALLOW-FROM uri
指令来允许来自这个其他域,但不再推荐使用该指令,是否有替代 ALLOW-FROM uri
的方法可以让我简单地添加一个可以允许的域显示 iframe 内容?
对于除一些较旧的浏览器(如 IE)之外的所有浏览器,您应该使用 Content-Security-Policy 和 frame-ancestors 指令。使用 CSP 框架祖先,您可以使用通配符 *.domain.com 或多个来源“oldapp.domain.com api.domain.com www.domain.com”。
X-Frame-Options ALLOW-FROM 只接受一个 uri,您可能必须根据传入的请求从允许的主机名列表中动态设置 uri。或者,如果您不需要完全支持 IE 和其他过时的浏览器,您可以将该值设置为 SAMEORIGIN,因为如果存在 CSP 框架祖先,X-Frame-Options 将被忽略。
以上是大佬教程为你收集整理的拒绝在框架中显示 xyz,因为它设置了 X-Frame-Options - 我可以设置允许的域吗?全部内容,希望文章能够帮你解决拒绝在框架中显示 xyz,因为它设置了 X-Frame-Options - 我可以设置允许的域吗?所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。