我一直在尝试寻找答案,但一直没有找到任何明确的答案。对于 X-Frame-Options,似乎只有有限的支持“Allow-From”选项,该选项允许您将可以将您的网站嵌入 iFrame 的 URL 列入白名单(基于http://caniuse.com/#feat=x-frame-options带有黄色块的浏览器是不支持“允许来自”选项的浏览器)。
我想将第三方网站的 URL 列入白名单,该 URL 专门在 iOS 上的 Safari 上以 iFrame 加载我的网站(无论出于何种原因,其他任何移动或桌面浏览器都不会出现这种情况)。我不确定的是使用“Allow-From”时的回退行为;在不支持它的浏览器上。使用它是否安全,或者它是否会因回退行为不可预测而导致安全风险?
感谢任何指点。
答案1
不支持它的客户端将会忽略它,它没有更多功能,也没有后备或中间条款。
我建议您使用 CSP(内容安全策略),它具有更广泛的客户端浏览器支持范围,并允许更具体的设置。