Я пытаюсь загрузить IFrame на свой веб-сайт, но получаю страшную Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'sameorigin'. Однако, когда я смотрю на фактические заголовки ответа, отправленные с другого сайта, я не могу найти ни одного вхождения X-Frame-Options!
Почему Chrome жалуется, что заголовок установлен, когда я не могу найти его в DevTools?
URL-адрес сайта, который я пытаюсь внедрить, - https://localhost:44359, и на нем запущен экземпляр ASP.NET Core MVC.
Я попытался добавить некоторое промежуточное программное обеспечение для удаления этого заголовка, но, поскольку заголовок никогда не установлен, удалить также нечего ... если, конечно, это не установлено самим MVC, в этом случае промежуточное программное обеспечение не будет справка, потому что MVC завершает конвейер промежуточного программного обеспечения.
Полагаю, я мог бы установить тег <meta> на самой странице, но даже Google говорит, что X-Frame-Options Allow-From не поддерживается , и я нашел статью (к сожалению, не могу найти ее снова), которая сказал, что Google будет использовать Политику безопасности контента вместо этого. Я попытался добавить frame-src https://localhost:44359 в CSP для сайта, который пытается встроить iframe, но это не дало результата.
Есть ли способ заставить "Chrome" (и другие) принять iframe от localhost?