我有一个网页,呈现一些嵌套的iFrames。假设abc.com载入def.com,然后在另一个iFrame中打开ghi.com。 abc.com - > def.com - > ghi.com在嵌套iFrame的情况下,x-Frame-option如何工作?
ghi.com有选项设置为仅允许某些特定网站的iframe它。 ghi.com中的设置应该如何呈现?我们是否需要白名单列出abc.com和def.com,或者仅列出def.com或abc.com?
我碰到这种情况与X框选项时试图允许IE 11。这种情况下,我发现把的X架,期权价值“允许-FROM顶级站点域”工作用于嵌套iFrame中的响应。使用你的榜样,两者def.com和ghi.com响应将设置类似标题:
“X-框架 - 选项”:允许一-FROM abc.com
作为一个侧面说明,根据OWasp,在您的示例中将X-Frame-Options标题设置为def.com的ALLOW-FROM和ghi.com的SAMEORIGIN不起作用。
请记住,其他的浏览器,如Chrome浏览器的支持内容安全,政策,你还需要进行设置。在我们的情况下,我们的域名都是子域名,所以我们的场景通过使用通配符的头域很容易解决。 first.example.com - > second.example.com - > third.example.com的场景允许我们为第二个和第三个.example.com响应标头设置以下内容:
“Content-Security-Policy” :frame-ancestors'self'https://*.example.com