Question

Я хочу добавить этот заголовок на мой сервер nginx

add_header X-Frame-Options "SAMEORIGIN";

Однако я хочу, чтобы люди все еще могли использовать <iframe>, который ссылается на мой сайт.

Как youtubeпредоставляет встроенный URL для видео, я делаю то же самое для определенной части моего веб-сайта.

- это "SAMEORIGIN" - это правильное значение?или заголовок X-Frame-Options находится в конфликте с функциональностью, которую я пытаюсь получить?

alvarofvr · Answer 1 · 04 декабря 2018

Существует три возможных директивы для X-Frame-Options:

X-Frame-Options: deny страница не может отображаться в кадре
X-Frame-Options: sameorigin страница может отображаться только в кадре натот же источник, что и сама страница (тот же домен)
X-Frame-Options: allow-from https://example.com/ страница может отображаться только в рамке указанного источника

Если вы установите ее на sameorigin, когдахосты (люди) пытаются загрузить ваш сайт в <iframe>, тогда браузер выдаст вам ошибку.Попробуйте это и откройте консоль разработчика:

<iframe src="https://www.google.com"/>

Короче говоря, sameorigin, конечно, неправильный выбор, если вы хотите, чтобы ваш сайт загружался в <iframe> другими людьми (доменами).Попробуйте прочитать это, если хотите получить то, что ищете:

Преодоление «Отображение запрещено X-Frame-Options»

Могу ли я применить заголовок X-Frame-Options, и люди все еще используют <iframe>с моим сайтом

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Могу ли я применить заголовок X-Frame-Options, и люди все еще используют <iframe>с моим сайтом

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы