Railsアプリケーションを使用してabc.comのページを提供しています。その中で、アプリケーションコントローラーに応答ヘッダーを設定して(before_filterを介したすべての要求に対して)、次のコードを使用して、特定のサイト(xyz.com)からのみiframeを介してアクセスできるようにします。
def set_x_frame_options
response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com"
end
問題は、xyzのabc.comからだけでなく、他のWebサイトからもページにアクセスできることです。xyz.comのみにアクセスを制限したい。Chromeコンソールで応答ヘッダーを調べると、X-Frame-Optionsが正しく渡されていることがわかります。これはすべてのブラウザで発生しています。私は何かが足りないのですか?