在我正在处理的 Ruby on Rails 4 应用程序中,我需要创建一个页面,该页面将被拉入托管在 foo.bar.com 服务器上的 iframe 中。因此,我有了这个控制器方法:
在我正在处理的 Ruby on Rails 4 应用程序中,我需要创建一个页面,该页面将被拉入托管在 foo.bar.com
服务器上的 iframe 中。因此,我有了这个控制器方法:
def iframed_page
response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://foo.bar.com"
end
现在客户要求我也将http://foo.dev.bar.com
添加到白名单中。
我知道对于设置X-FRAME-OPTIONS,"ALLOW-FROM"选项不允许多个子域名。但由于这是具有不同子域的相同根域,它是否会更加灵活?例如,我能否做出类似的操作:
response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://*.bar.com"
还有吗?
Content-Security-Policy
通配符前缀的信息。无论如何,似乎X-FRAME-OPTIONS
可能不是最具前瞻性的选择。 - deefourContent-Security-Policy
在所有浏览器中都不起作用,相关指令frame-ancestors
只在Chrome和Firefox中起作用。此外,该答案关于X-FRAME-OPTIONS
的陈述也已过时。 - fzzfzzfzz