如何在Rails 4控制器中为“X-Frame-Options”允许来自多个域的内容？

Question

如何在Rails 4控制器中为“X-Frame-Options”允许来自多个域的内容？

ruby-on-railsiframeruby-on-rails-4http-headersx-frame-options

16

在我正在处理的 Ruby on Rails 4 应用程序中，我需要创建一个页面，该页面将被拉入托管在 foo.bar.com 服务器上的 iframe 中。因此，我有了这个控制器方法：

在我正在处理的 Ruby on Rails 4 应用程序中，我需要创建一个页面，该页面将被拉入托管在 foo.bar.com 服务器上的 iframe 中。因此，我有了这个控制器方法：

def iframed_page
  response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://foo.bar.com"
end

现在客户要求我也将http://foo.dev.bar.com添加到白名单中。

我知道对于设置X-FRAME-OPTIONS，"ALLOW-FROM"选项不允许多个子域名。但由于这是具有不同子域的相同根域，它是否会更加灵活？例如，我能否做出类似的操作：

response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://*.bar.com"

还有吗？

- drumwolf

1

可能是X-Frame-Options Allow-From multiple domains的重复问题。 - deefour

1

我已经阅读了那个问题，非常感谢。它并没有解释关于Ruby on Rails的任何内容，或者如果您有相同根域的两个不同子域该怎么办。 - drumwolf

1

当我说：你的问题并不是真正的Rails特定问题时，我并不是在争论。上面链接的问题/答案确实提供了使用Content-Security-Policy通配符前缀的信息。无论如何，似乎X-FRAME-OPTIONS可能不是最具前瞻性的选择。 - deefour

上面链接的问题明确表明Content-Security-Policy在所有浏览器中都不起作用，相关指令frame-ancestors只在Chrome和Firefox中起作用。此外，该答案关于X-FRAME-OPTIONS的陈述也已过时。 - fzzfzzfzz

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Andrew Carreiro · Accepted Answer

你可以使用 Content-Security-Policy 头部替代，但它在一些情况下不适用。

response.headers["X-Content-Security-Policy"] = "frame-ancestors http://*.bar.com";
response.headers["Content-Security-Policy"] = "frame-ancestors http://*.bar.com";

在现代浏览器上，Content-Security-Policy 会覆盖 X-Frame-Options
在IE11上，X-Content-Security-Policy 会覆盖 X-Frame-Options