1

Я пытаюсь настроить свой vHost, чтобы разрешить фреймы только из одного субдомена в нашей сети. Прежде чем мы имели:

add_header X-Frame-Options "SAMEORIGIN"; на всех наших страницах.

Чтобы выполнить то, что я хочу сделать, я попытался:

add_header X-Frame-Options https://somewebsite.com;

В конечном итоге это позволяет использовать iframes по своему усмотрению, но позволяет использовать их с любого домена, а не только с https://somewebsite.com .

Как я могу запретить фреймы со всех внешних страниц, но разрешить их из одного субдомена?

Дополнительная информация:

оба сайта работают на одной машине.

1 ответ1

2

В RFC для заголовка X-Frame-Options указано, что допустимыми параметрами для заголовка являются:

  • DENY
  • SAMEORIGIN
  • ALLOW-FROM <uri>

Итак, сначала вам нужно добавить ALLOW-FROM затем указать URI вашего субдомена. Что-то вроде этого:

ALLOW-FROM https://subdomain.example.com/

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .