X-Frame-Options явно не установлены на sameorigin, но Nginx блокирует отображение страницы в iframe

Question

Я нигде не указывал явно в nginx параметры x-frame-options на sameorigin, но nginx блокирует html-страницу, отображаемую внутри iframe.Пробовал указывать домен в X-Frame-Options, но не повезло.Предоставление нескольких ошибок в консоли, если это поможет.Я прочитал их и попробовал исправить, но не работает.

https://preview.codecanyon.net/item/product-name/product-id

Он просматривает мою HTML-страницу в iframe.

Answer 1

Если это поможет, я позже выяснил, что установка предков фреймов в этот конкретный домен позволяет этому домену показывать страницу в фрейме. Вы можете сделать это в конфигурационном файле nginx.

Answer 2

Проблема не в X-Frame-Options, а Content-Security-Policy также. Codecanyon установил заголовок CSP, чтобы другие сайты не могли создавать фреймы на своих сайтах. Даже если вы разрешите все сайты в заголовке XFO, они могут заблокировать отображение вашего сайта на своем сайте с заголовком CSP.

Но они - рынок, они должны предоставить разработчикам возможность добавить iframe на свою страницу предварительного просмотра. Кажется, они не реализовали способ, позволяющий разработчику предоставить frame-src на странице предварительного просмотра. Поэтому заголовок CSP Codecanyon находится в режиме «Только отчет». Все работает нормально, хотя вы видите много ошибок в Chrome Developer Console.

---

Кстати, вы реализовали синтаксическую ошибку CSP header: неожиданная пунктуация при запуске.