我遇到过一个案例,客户想要删除 SAMEORIGIN 标头并添加 ALLOW-FROM。这是 Apache 2.22
我在 http:// 和 https:// 配置中都完成了此操作:
标头设置 X-Frame-Options“ALLOW-FROM ...”
当我卷曲 http:// url 时,我只看到 ALLOW-FROM,而不是 SAMEORIGIN 标头。但是,卷曲 https:// url 时,它仍然会在 ALLOW-FROM 之前添加 SAMEORIGIN 标头。我已检查全局 apache confs 和站点 .htaccess,但找不到强制执行的位置。
我也尝试过首先取消设置标题,然后在 https:// conf 和 .htaccess 中设置 ALLOW-FROM。
我还能去哪里寻找?
答案1
搞清楚了。网站代码中隐藏着一些强制使用 sameorigin 的 php 配置文件。