如何在服务器上将 X-Frame 选项设置为 ALLOW-FROM https://example.com 和 SAMEORIGIN

2024-03-14

我需要在服务器级别至：

X 框架选项：SAMEORIGIN

X 框架选项：ALLOW-FROMhttps://example.com/ https://example.com/

了解 X 框架选项是互斥的。看here https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options.

但是，我的应用程序需要框架https://example.com https://example.com也来自其同源.

请告知是否有办法解决这个问题，同时保留我的应用程序的允许框架的要求同源并被框起来1 个外部站点.

或者这是不可能的？

除了仅支持一个标头实例之外，X-Frame-Options仅支持一个站点，SAMEORIGIN or not.

你必须使用Content-Security-Policy and frame-ancestors，它确实支持多个来源，如下所示：

Content-Security-Policy: frame-ancestors 'self' https://example.com

需要记住的几点：

frame-ancestors过时的X-Frame-Options https://w3c.github.io/webappsec-csp/#frame-ancestors-and-frame-options- 意思是如果frame-ancestors存在并且浏览器支持它，它将覆盖的行为X-Frame-Options.
Internet Explorer 不支持frame-ancestors指示，根据MDN https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors#Browser_compatibility。这意味着他们将回落到X-Frame-Options。如果您需要在 IE 中支持多个来源，请参阅 SO 上的此答案以及解决方法 https://stackoverflow.com/a/42257574/4220785.

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

iframe

webserver

XFrameOptions

如何在服务器上将 X-Frame 选项设置为 ALLOW-FROM https://example.com 和 SAMEORIGIN 的相关文章

iframe 主体删除空间

我的 iframe 风格为style width 100 几乎覆盖了页面宽度但它在左侧和右侧留下了一个小边距所以我添加了body margin 0px 删除空间它有效但问题是删除边距影响其他事物例如段落 p inside 有没有办
为什么使用 iPhone 或 iOS 设备在“iframe”中查看“position:fixed”时不起作用？

我研究过 stackoverflow 似乎position fixed在 iOS 移动设备的 iframe 中 https stackoverflow com questions 15874910 position fixed and if
如何跟踪推文按钮点击次数？

我想通过 Google Analytics 跟踪推文按钮点击但推文按钮是一个包含来自另一个域的内容的 iframe 是否有一些技巧可以为推文按钮点击添加回调或者您可以简单地将事件添加到您的 div 中然后等待该 div 被单击例如
如何使用 Javascript 访问 iframe 元素？

我有一个网页其中 iframe 中有一个文本区域我需要从其子页面 JavaScript 中读取此文本区域的值目前通过使用window parent getelementbyID value在 JavaScript 中我能够获取父页面
如何在 Metro 应用程序中从 Web 上下文（Iframe）发出 javascript 警报。

在我的 Metro 应用程序中我使用 iframe 加载 Web 应用程序基本上是一个包含一些控件的表单最后用户单击完成按钮我想显示警报我在地铁应用程序中知道我们可以使用 new Windows UI Popup Messa
尝试访问 iframe 内容（不同子域）；尝试设置 CORS

我将文件托管在domain com 其中包含一个 iframe 其文档托管在s3 domain com 我正在尝试访问 iframe 的内容但收到以下信息不安全的 JavaScript 尝试通过 URL 访问框架http s3 doma
实现npm包自定义组件VueJS

我正在尝试使用以下 npm package 来绕过 X frame 选项 https www npmjs com package x frame bypass https www npmjs com package x frame bypa
iframe src 允许所有来源，但仍然收到跨来源错误

我管理 siteA 的前端并在页面上有一个 iframe 其中 src 指向 siteB 的资源这是其他供应商和客户端使用的可嵌入资源其视频嵌入因此 siteB 的响应标头设置为 Access Control Allow Origi
Chrome 扩展 - 访问 iframe 元素

我正在附加一个iframe到页面使用content script with src set to chrome extension getURL myPage 稍后在某些事件中我想从框架中检索一些元素我尝试了以下代码content sc
如何仅将网站的特定部分放入 iframe 中？

我只想将网站的一小部分放入 iframe 中我该怎么做通常当我为网站假设是雅虎设置 iframe 时它会获取整个网站假设我只想要网站的一小部分我该怎么做是否可以在网站的 iframe 上添加边距我想在我的网站上放置一个
iFrame 在 Facebook Canvas 应用程序中显示为空白

我有一个非常简单的页面我试图在 Facebook iframe 中查看它它是一个 Django 视图但它不依赖于请求是通过 POST 还是 GET 提交它所做的只是返回一些简单的 HTML 如果我们直接点击链接它会正确显示如果在
停止视频时隐藏 YouTube iframe 中的“更多视频”

当用户停止视频时如何隐藏 Youtube iframe 中的更多视频部分例子我找不到任何解决方案here https developers google com youtube player parameters 如果您安装了 u
防止页面跳转到iframe

我正在尝试通过 iframe 将 wetransfer 集成到网站中但是当页面加载时遇到问题它会跳转到页面的一半因此它专注于 iframe 而不是在页面顶部打开据我所知 wetransfer 网站上有一个脚本告诉它跳转到该部分而不
如何在iframe中插入html

大家好我需要在 iframe 中插入一个 html 字符串如下所示 var html p body p jQuery popolaIframe click function parent indexIframe 0 documentEl
Node.JS Web 服务器中的安全性

所以我正在学习 Node JS 到目前为止我很喜欢它我已经有几个项目在工作了我想我可以在其中使用nodejs 不过我担心安全问题如果我使用 Node JS http 模块编写自定义 Web 服务器我是否可能非常容易受到攻击 Ap
无论滚动位置如何，引导模式都位于 iframe 顶部。如何将其放置在屏幕上？

在 iframe 中嵌入 Bootstrap 应用程序时模式对话框始终在 iframe 顶部打开而不是在屏幕顶部例如转到http getbootstrap com javascript http getbootstrap com j
嵌入式 Youtube：如何在 iOS 7 ipad 上获得高品质

我在网页上嵌入了 YouTube 视频在桌面上它运行良好然而在 ipad 运行 iOS7 上视频质量相当差可能是 480p 在 iframe 中它看起来不错但是当您将视频全屏显示时它就非常明显了我尝试过使用hd 1 vq
.htaccess 路由到服务器上的子目录？性能/加载时间

我想知道是否可以使用 htaccess 文件将我的域直接路由到服务器上的子目录我从常规虚拟主机提供商处购买了虚拟主机软件包其中我的domain com 连接到我的服务器的根目录我想知道是否可以以某种方式将 htaccess 文件上传到
通过单击链接更改 iframe src

我有一个iframe看起来像这样我想创建一个链接以便当我单击它时页面上的 iframe 会发生变化我怎样才能使用 jQuery 做到这一点和jquery有关系吗attr 你不需要 jQuery 您甚至不需要 JavaScript
在生产服务器上安装 VS.NET 是否安全且可以接受？ [关闭]

Closed 这个问题是基于意见的 help closed questions 目前不接受答案通常我们在生产服务器上安装 VS NET 以便在必要时轻松解决我们产品的问题这是好主意还是坏主意调试和开发应该在安全环境中完成这不是

随机推荐

在实际设备中安装.apk文件仅用于测试

我想在实际设备上测试我的应用程序那么我该如何进行呢它是附件吗sign in并使用zipalign为此目的或者它们在准备发布我的申请时有用吗有没有办法在不使用 eclipse 的情况下在实际设备上测试我的应用程序下载并安装安卓软件开
Spring-mvc-jpa 与 Maven 错误创建 bean

这是我的第一个问题我是 Spring MVC 和 Jpa 的新手我遇到了这个麻烦我自己无法弄清楚我尝试在 Google 上搜索但没有找到与此错误相关的内容我已将所有配置文件存储在 src main resources META
在 Android 布局中对齐左右边缘的文本视图

我正在开始使用Android 我无法进行简单的布局我想用一个LinearLayout到位置二TextViews在单行中一TextView一个在左侧另一个在右侧类似于 CSS 中的 float left float right 这可能
Typescript 属性装饰器可以为类设置元数据吗？

在打字稿中是否可以使用属性装饰器来设置类的元数据考虑下面的代码类装饰器的目标显然与属性装饰器的目标不同我可以从另一个派生出一个吗 import reflect metadata const MY CLASS DECORATO
将 int 位转换为 float 位

我正在创建一个缓冲区该缓冲区将在横幅中读写在其中我可以完全消除 TCP 分段带来的问题我遇到的唯一问题是浮点变量除了浮点之外其他一切都工作正常我找不到任何有关如何将 int32 位转换为浮点数的信息将 float 转换为 i
泛型语法：类与原始数据类型

为什么这个不起作用 ArrayList
嗯，但是在 javascript 中

我要成为大卫诺伦的粉丝了嗡图书馆 https github com swannodette om 我想在我们的团队中构建一个不太大的 Web 应用程序但我无法真正说服我的队友切换到 ClojureScript 有没有一种方法可以使用 o
jQuery("#id") 还是 jQuery(document.getElementById("id"))？ [关闭]

Closed 这个问题是基于意见的 help closed questions 目前不接受答案显示性能差异here http jsperf com document getelementbyid vs jquery selector 我应
显示在 SQL Server 中存储为 blob 的图像

我有一个查询来获取信息图像 q4 SELECT TOP 3 b BadgeName b BadgeImage FROM BadgeImageTable AS b INNER JOIN employee badge AS e ON e bad
hibernate.validator.fail_fast 序列

我的问题是我一一收到验证错误但不是按顺序那么有哪位朋友可以告诉我如何根据用户需要按顺序显示错误吗所以我希望这是您想要的或者至少能将您推向正确的方向在我的控制器中我有以下方法 RequestMapping value test
在执行 WHERE 之前对 mysql 列进行 base64 解码

基本上这是一个很长的故事但我在数据库中有一个字段被编码为 base64 字符串 EG 这存储在数据库中 YToyOntzOjIwOiJUeXBlX29mX29yZ2FuaXNhdGlvbiI7czoyMDoiTWVtYmVyIG9mIF
如何将 Calabash 添加到 React Native iOS for Xamarin.UITest

如何将 Calabash 框架添加到 React Native 内置的 iOS 应用程序中我们正在将 iOS 应用程序的代码库从 Swift 迁移到 React Native 并且我有一套使用 Xamarin UITest 用 C 构建的
如何在 NDK 中加载视频文件（位于 asset 文件夹中）？

我正在通过 android ndk 执行 ffmpeg 我可以运行一个示例在这里 https github com ccggaass android ffmpeg sample 我想把视频放在android的assets文件夹中那么如何
类型错误：+= 不支持的操作数类型：“builtin_function_or_method”和“int”

我收到此错误 TypeError unsupported operand type s for builtin function or method and int 当尝试运行此代码时 total exams 0 for total exa
ios 8 Touch ID 新增指纹检测

我正在深入研究 Apple 的 Touch ID 更准确地说是本地身份验证器目前的文档还相当稀疏主要就是这样 LAContext myContext LAContext alloc init NSError authError nil
FragmentManager 已经在执行事务。提交后什么时候初始化寻呼机是安全的？

我有一个活动托管两个片段该活动开始时会在加载对象时显示加载程序然后加载的对象通过 newInstance 方法作为参数传递给两个片段并附加这些片段 final FragmentTransaction trans getSupport
错误-1054 order子句中未知的列e.id

我有一个这样的查询 SELECT e id FROM event e WHERE e startdatetime
即使 num_threads(1) 时，openmp 的性能提升也难以理解

下面几行代码 int nrows 4096 int ncols 4096 size t numel nrows ncols unsigned char buff unsigned char malloc numel unsigned cha
Magento 选项卡更改/重定向

我有一个带有两个选项卡的页面一个搜索选项卡和一个带有数据库网格的选项卡用户编辑网格中的一个项目后我想将它们保留在网格选项卡上而不是按顺序排列在第一位的表单选项卡上有没有办法通过代码更改页面上的活动选项卡这是选项卡的代码 prot
如何在服务器上将 X-Frame 选项设置为 ALLOW-FROM https://example.com 和 SAMEORIGIN

我需要在服务器级别至 X 框架选项 SAMEORIGIN X 框架选项 ALLOW FROMhttps example com https example com 了解 X 框架选项是互斥的看here https developer mo

如何在服务器上将 X-Frame 选项设置为 ALLOW-FROM https://example.com 和 SAMEORIGIN

如何在服务器上将 X-Frame 选项设置为 ALLOW-FROM https://example.com 和 SAMEORIGIN 的相关文章

随机推荐

热门标签