Действительно ли X-Frame-Options ALLOW-FROM устарели?

Question

Я не уверен насчет точного статуса этого HTTP-заголовка. Некоторые источники - например, Mozilla или Caniuse - четко указывают, что этот заголовок был удален начиная с версии 70 Firefox и был заменен на Content-Security-Policy: frame-ancestors.

Несмотря на это, я вижу, что X-Frame-Options: ALLOW-FROM myServerURI все еще работает: используя Firefox 75, я ясно вижу, что установка этого заголовка или нет на стороне сервера все еще влияет на iFrame: внутренний контент разрешен или заблокирован, если заголовок присутствует или нет.

Изучение заголовков ответа сервера с использованием Firefox F12 / Инструменты для веб-разработчиков, Сеть, Заголовки четко показывает наличие этого заголовка и влияние на результат. В этой ситуации также присутствует заголовок Content-Security-Policy, но без директивы frame-ancestors.

Answer 1

Что-то должно быть не так с вашим тестом.

Когда я пытаюсь использовать его в Firefox 75, я получаю сообщение об ошибке в консоли:

Invalid X-Frame- Опции: заголовок «ALLOW-FROM http://www.example.com/» из «http://localhost:7007/» загружен в «http://localhost:8080/».

… и содержимое отображается во фрейме, даже если iframe размещен на http://localhost:8080/ а не http://www.example.com/