编辑于2018年1月17日:以下是正确的内容:
Header set X-Frame-Options SAMEORIGIN
Header append X-Frame-Options "ALLOW-FROM http://www.example.com/"
Header append X-Frame-Options "ALLOW-FROM http://example.com/"
Header append X-Frame-Options "ALLOW-FROM https://www.example.com/"
Header append X-Frame-Options "ALLOW-FROM https://example.com/"
基本上,您只允许来自您网站的iframe(SAMEORIGIN),并使用“append”指定允许的URL列表。如果您不添加“append”,每行都将覆盖前面的行。
这在Internet Explorer 11中实际上可以工作,在Firefox 57中无法工作,并且被Chrome忽略...
使用
https://securityheaders.io进行测试将无法获得“A”,因为它们无法处理多个URI。
We couldn't detect a valid configuration. Expected values are "DENY", "SAMEORIGIN", "ALLOW-FROM (URL)" and "ALLOWALL".
另一种似乎在IE11和Firefox中有效的可能性是:
Header always set X-Frame-Options "ALLOW-FROM https://www.example.fr/ https://example.fr/ http://www.example.fr/ http://example.fr/"
当你使用https://securityheaders.io检查结果时,它会给出“A”级。
顺便问一句,使用世界上最常用的浏览器(Chrome)可以绕过安全设置的点是什么?