我正在使用Rails应用程序从abc.com提供页面。在其中,我在我的应用控制器中设置响应头(通过before_filter处理每个请求),以便仅从特定站点(xyz.com)通过iframe访问它,代码如下:
def set_x_frame_options
response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com"
end
问题是,我不仅可以从xyz上访问abc.com的页面,还可以从任何其他网站上访问。我想限制访问只能在xyz.com上进行。当我在Chrome控制台中检查响应头时,我可以看到X-Frame-Options已经正确传递了。这在所有浏览器中都发生了。 我错过了什么吗?