Где я могу найти значение X-Frame-Option на Windows Server?

Question

Я проверил раздел заголовка http в IIS 10.0 и проверил файл веб-конфигурации, и нигде не могу найти эту опцию, но где-то задает для параметра X-Frame-Option значение SAMEORIGIN:

Отказался отображать 'https://example.co.uk/' в кадре, потому что он установил для' X-Frame-Options 'значение' sameorigin '.

Когда я добавляю X-Frame-Options вweb.config:

<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
<add name="X-Frame-Options" value="allow-from https://example.co.uk/" />
</customHeaders>
</httpProtocol>

Я получаю в консоли следующее:

Отказался отображать 'https://example.co.uk' во фрейме, потому что он установил несколько' XЗаголовки -Frame-Options 'с конфликтующими значениями (' SAMEORIGIN, allow-from https://example.co.uk/'). Возвращаясь к 'deny'.

Мне действительно нужно добавить iframe на другой сайт, так что мне нужноЭтот текущий сайт позволяет отображать его. У меня есть полный доступ к обоим сайтам / серверам.

Сайт построен на c # .Net, и там тоже не устанавливаются заголовки ответа - в любом случае, из моих поисков!

Пожалуйста, кто-нибудь может объяснить, как это может происходить?

Заранее спасибо.

Answer 1

Для тех, кто сталкивается с этим, я надеюсь, что это поможет.MVC 4 + автоматически добавляет x-frame-option как sameorigin.Так что, если вы установите его в IIS или в конфигурации, он потерпит неудачу, поскольку он подхватит оба значения.Мой совет не переопределять это и думать о другом подходе, возможно, API для завершения страницы входа на другом сайте?Большинство сайтов разрешают в тот же день только то же самое.

System.Web.Helpers.AntiForgeryConfig.SuppressXFrameOptionsHeader = true;

Затем вы можете установить желаемое значение в IIS или непосредственно на сайтах web.config.