Я использую nignx для обслуживания приложения, которое (может) использовать настройки CORS. Это означает, что на панели управления приложения я могу иметь некоторые настройки для ограничения CORS указанием c доменов.
У меня также есть эта строка в моей nginx конфигурации:
add_header X-Frame-Options SAMEORIGIN;
Но у меня также есть эти строки:
add_header 'Access-Control-Allow-Headers' 'Authorization,Content-Type,Accept,Origin,User-Agent,DNT,Cache-Control,X-Mx-ReqToken,Keep-Alive,X-Requested-With,If-Modified-Since';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
Я понимаю, что параметры x-frame связаны с возможностью загрузки веб-приложения в iframe или нет.
Мой вопрос: :
Должен ли при установке CORS для определенного доменного имени разрешить загрузку кода в iframe для доменных имен, установленных как неограниченные в настройках CORS? Или другими словами: должны ли настройки CORS иметь возможность переопределить строку параметров x-frame для определенных c доменов?
Спасибо, Лекс