我正在尝试设置我的 vHost,以仅允许来自我们网络的一个子域的 iframe。之前我们有:
add_header X-Frame-Options "SAMEORIGIN";在我们所有的页面上。
为了完成我想做的事情我尝试过:
add_header X-Frame-Options https://somewebsite.com;
这最终允许 iframe 按照需要进行操作,但它允许它们来自每个域,而不仅仅是来自https://somewebsite.com。
我如何拒绝所有外部页面的 iframe 但允许一个子域的 iframe?
附加信息:
两个站点都在同一台机器上运行。
答案1
这请求函数对于X-Frame-Options标题,指出标题的有效选项是:
DENYSAMEORIGINALLOW-FROM <uri>
因此,首先您需要添加ALLOW-FROM然后指定子域名的 URI。如下所示:
ALLOW-FROM https://subdomain.example.com/