См. спецификацию :
Подстановочные знаки или списки для объявления нескольких доменов в одном ALLOW-FROM
Заявление не допускается
и Шаблон проектирования использования и пример сценария для ALLOW-FROM
Параметр
- Страница, которая хочет отобразить запрошенный контент во фрейме
предоставляет собственную информацию о происхождении на сервер, предоставляя
содержимое, которое должно быть создано с помощью параметра строки запроса.
например. используя строку запроса в URL.
Сервер проверяет, что имя хоста соответствует его критериям, так что
страница может быть создана целевым ресурсом. это
может, например, произойти через поиск в белом списке доверенных
доменные имена, которым разрешено обрамлять страницу. Например,
для кнопки «Мне нравится» на Facebook сервер может проверить
предоставленное имя хоста соответствует ожидаемому имени хоста
Кнопка «Мне нравится».
Сервер возвращает имя хоста в «X-Frame-Options: ALLOW-FROM»
если надлежащие критерии были выполнены на шаге № 2.
Браузер использует заголовок «X-Frame-Options: ALLOW-FROM».
Обратите внимание, что X-Frame-Options заменено Политика безопасности контента (CSP)
где директива предков фрейма не позволяет вам предоставить список.
Тем не менее, на самом деле не имеет смысла размещать один и тот же веб-сайт на www.example.com и example.com. Выберите один из них, чтобы он был каноническим, и выполните перенаправление 301 от другого к нему.
Тогда вам нужно только разрешить каноническое значение в X-Frame-Options.