У меня есть три веб-сайта:
- a.com
- b-dev.com
- b-tst.com
Я хочу разместить сайт B в iframe на сайте A. Это работает для b-dev, но не для b-tst.После изучения заголовков ответов для b-dev и b-tst я заметил, что ОБА из них имеют заголовок X-frame-options: SAMEORIGIN, но только b-dev (тот, который работает) имеет Allow-access-control-origin: *.Я хочу сделать вывод, что заголовки X-frame-options игнорируются из-за другого заголовка.Это правильно?
Мы хотели бы изменить заголовок ответа, чтобы он был немного более безопасным.Можно ли поменять звездочку на «a.com», чтобы сохранить существующее поведение, но только для веб-сайта A?