如何解决拒绝在框架中显示 xyz,因为它设置了 X-Frame-Options - 我可以设置允许的域吗?
我正在整理一个即将进行渗透测试的网站,我们被要求将 x-frame-options 标头添加到我们的服务器配置中。添加以下标题时,它会在我们使用 iframe 的 console.log 中给我一条错误消息
add_header 'x-frame-options' "SAMEORIGIN";
-- 错误 --
`拒绝在框架中显示“https://api.domain.com/”,因为它将“x-frame-options”设置为“sameorigin”。
显然我理解这个标头的安全原因,但我们的网站有一个我们根本无法更改的 iframe,它位于不同的域中,例如 oldapp.domain.com 而不是 api.domain.com。
我本来可以使用 ALLOW-FROM uri 指令来允许来自这个其他域,但不再推荐使用该指令,是否有替代 ALLOW-FROM uri 的方法可以让我简单地添加一个可以允许的域显示 iframe 内容?
解决方法
对于除一些较旧的浏览器(如 IE)之外的所有浏览器,您应该使用 Content-Security-Policy 和 frame-ancestors 指令。使用 CSP 框架祖先,您可以使用通配符 *.domain.com 或多个来源“oldapp.domain.com api.domain.com www.domain.com”。
X-Frame-Options ALLOW-FROM 只接受一个 uri,您可能必须根据传入的请求从允许的主机名列表中动态设置 uri。或者,如果您不需要完全支持 IE 和其他过时的浏览器,您可以将该值设置为 SAMEORIGIN,因为如果存在 CSP 框架祖先,X-Frame-Options 将被忽略。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。