如何在服务器上设置X-Frame选项为ALLOW-FROM https://example.com和SAMEORIGIN

Question

19

我有一个需求，需要在服务器层级上设置X-Frame选项，可以选择以下之一：

X-Frame-Options: SAMEORIGIN

X-Frame-Options: ALLOW-FROM https://example.com/

请注意，X-Frame选项是互斥的。请参见这里。然而，我的应用程序需要来自https://example.com和同源的框架支持。请指导是否有方法解决此问题，同时保留我的应用程序需要在同源上允许框架支持，并在一个外部站点上被嵌入的要求。还是说这是不可能的？

- user3188291

任何帮助都将不胜感激。 - user3188291

2个回答

0

我有类似的需求，我在 global.asax 中处理。我检查请求来自哪里，并基于此将标题值更改为 sameorigin 或 allow-from。希望这有所帮助。

- dheeraj ahuja

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Adaline Simonian · Accepted Answer

除了仅支持一个标题实例外，X-Frame-Options 不支持多个站点，只能是 SAMEORIGIN 或其他。

你需要使用 Content-Security-Policy 和 frame-ancestors，它可以支持多个来源，像这样：

Content-Security-Policy: frame-ancestors 'self' https://example.com

需要注意以下几点：

frame-ancestors 取代了 X-Frame-Options - 这意味着如果存在 frame-ancestors 并且浏览器支持它，则将覆盖 X-Frame-Options 的行为。
Internet Explorer 不支持 frame-ancestors 指令，根据MDN的说法。这意味着它们将回退至使用 X-Frame-Options。如果需要在 IE 中支持多个来源，请参阅此 SO 上的解决方法。