我有一个要求设置在服务器级别 X框选项,即:如何设置X框选项,允许-FROM https://example.com和SAMEORIGIN服务器上
- X框选项:SAMEORIGIN
- X框-选项:允许-FROM https://example.com/
要知道,X-框架选项是相互排斥。见here。
然而,我的应用程序需要在https://example.com和取景也从SAMEORIGIN。
请告知,如果有解决这个当的方式retainining我的应用程序的要求,允许其制定的同一产地和1外部网站被陷害。
或者这是不可能的?
除了仅支持头的一个实例,X-Frame-Options不支持多于一个站点,SAMEORIGIN或不支持。
你将不得不使用Content-Security-Policy和frame-ancestors,这并支持多种起源,就像这样:
Content-Security-Policy: frame-ancestors 'self' https://example.com
一对夫妇指出牢记:
frame-ancestors obsoletes X-Frame-Options - 这意味着如果frame-ancestors并且浏览器支持它时,它将覆盖X-Frame-Options的行为。frame-ancestors指令,according to MDN。这意味着他们将回落到X-Frame-Options。如果您需要在IE或Edge中支持多个来源,请致电see this answer on SO with a workaround。这个答案是正确的,应该被接受(和upvoted) – sideshowbarker
我有一个类似的要求,我在global.asax中处理。我检查了请求来自何处,并基于此将标题值更改为sameorigin或allow-from。希望有所帮助。
这不会提供一个问题的答案。一旦你有足够的[声誉](https://stackoverflow.com/help/whats-reputation),你将可以[对任何帖子发表评论](https://stackoverflow.com/help/privileges/comment);相反,[提供不需要提问者澄清的答案](https://meta.stackexchange.com/questions/214173/why-do-i-need-50-reputation-to-comment-what-can- I-DO-代替)。 - [来自评论](/ review/low-quality-posts/18086379) – edwin
任何帮助表示赞赏。 – user3188291