NGINX X-Frame-Options позволяют только с одной страницы

13812
Flatron

Я пытаюсь настроить свой vHost, чтобы разрешить фреймы только из одного субдомена в нашей сети. Прежде чем мы имели:

add_header X-Frame-Options "SAMEORIGIN"; на всех наших страницах.

Чтобы выполнить то, что я хочу сделать, я попытался:

add_header X-Frame-Options https://somewebsite.com;

Это позволяет использовать iframes по своему усмотрению, но позволяет использовать их из любого домена, а не только из https://somewebsite.com.

Как я могу запретить фреймы со всех внешних страниц, но разрешить их из одного субдомена?

Дополнительная информация:

оба сайта работают на одной машине.

1

1 ответ на вопрос

2
heavyd

RFC для X-Frame-Optionsзаголовка указывается, что допустимые параметры для заголовка являются:

  • DENY
  • SAMEORIGIN
  • ALLOW-FROM <uri>

Итак, сначала вам нужно добавить, а ALLOW-FROMзатем указать URI вашего субдомена. Что-то вроде этого:

ALLOW-FROM https://subdomain.example.com/
Я добавил `add_header X-Frame-Options" ALLOW-FROM https://sub.example.com ";` в свой файл конфигурации vHost. Это заканчивается тем же поведением, что и раньше -> iframing разрешен из любого домена. Влияет ли используемый браузер на это? Я использую Google Chrome (48.0.2564.103) Flatron 8 лет назад 0
Смотрите таблицу внизу [этой страницы] (https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options). Судя по всему, Chrome не поддерживает `ALLOW-FROM`. heavyd 8 лет назад 3

Похожие вопросы