我有一個要求設置在服務器級別 X框選項,即:如何設置X框選項,允許-FROM https://example.com和SAMEORIGIN服務器上
- X框選項:SAMEORIGIN
- X框-選項:允許-FROM https://example.com/
要知道,X-框架選項是相互排斥。見here。
然而,我的應用程序需要在https://example.com和取景也從SAMEORIGIN。
請告知,如果有解決這個當的方式retainining我的應用程序的要求,允許其制定的同一產地和1外部網站被陷害。
或者這是不可能的?
除了僅支持頭的一個實例,X-Frame-Options不支持多於一個站點,SAMEORIGIN或不支持。
你將不得不使用Content-Security-Policy和frame-ancestors,這並支持多種起源,就像這樣:
Content-Security-Policy: frame-ancestors 'self' https://example.com
一對夫婦指出牢記:
frame-ancestors obsoletes X-Frame-Options - 這意味着如果frame-ancestors並且瀏覽器支持它時,它將覆蓋X-Frame-Options的行爲。frame-ancestors指令,according to MDN。這意味着他們將回落到X-Frame-Options。如果您需要在IE或Edge中支持多個來源,請致電see this answer on SO with a workaround。這個答案是正確的,應該被接受(和upvoted) – sideshowbarker
我有一個類似的要求,我在global.asax中處理。我檢查了請求來自何處,並基於此將標題值更改爲sameorigin或allow-from。希望有所幫助。
這不會提供一個問題的答案。一旦你有足夠的[聲譽](https://stackoverflow.com/help/whats-reputation),你將可以[對任何帖子發表評論](https://stackoverflow.com/help/privileges/comment);相反,[提供不需要提問者澄清的答案](https://meta.stackexchange.com/questions/214173/why-do-i-need-50-reputation-to-comment-what-can- I-DO-代替)。 - [來自評論](/ review/low-quality-posts/18086379) – edwin
任何幫助表示讚賞。 – user3188291