40

特定のドメインが iframe 経由で自分のサイトにアクセスできるようにしようとしています

Header set X-Frame-Options ALLOW-FROM https://www.that-site.com

上記の行をApacheサーバーの構成に追加することでこれを実行できることを私は知っています。

ここで 2 つの質問があります。

1) どの構成ファイルに追加する必要がありますか? 同じファイルではない場合、Unix と Windows の両方で実行されている apache

2) all-from を有効にしながら、自分のドメインから iframe を実行できるようにしたい。allow-from の後に次の行を追加することはできますか?

 Header set X-Frame-Options SAMEORIGIN

または、all-from に独自のドメインを追加する必要があります。つまり、

 Header set X-Frame-Options ALLOW-FROM https://www.that-site.com, http://www.my-own-domain.com

本当にこれを解決する必要があります。前もって感謝します

4

5 に答える 5

1

これはすべてのブラウザでうまくいきました:

  1. すべての JavaScript を使用して 1 つのページを作成しました
  2. 同じサーバー上に 2 ページ目を作成し、object タグを使用して最初のページを埋め込みました。
  3. サード パーティのサイトでは、Object タグを使用して 2 ページ目を埋め込みました。
  4. 元のサーバーの public_html フォルダーに .htaccess ファイルを作成し、その中に Header unset X-Frame-Options を配置しました。
于 2016-12-30T03:15:07.500 に答える
1

httpd サーバー内のアプリケーションに「X-Frame-Options ヘッダーが存在し、値がある場合は、そのままにしておく。そうでない場合は、ヘッダー X-Frame-Options: SAMEORIGIN を追加する」のようなルールがある場合、httpd.conf 「Header always unset X-Frame-Options」のような mod_headers ルールでは十分ではありません。SAMEORIGIN 値は常にクライアントに到達します。

これを改善するために、mod_headers ルールを 1 つではなく 2 つ (最も外側の httpd.conf ファイルに) 追加します。

Header set X-Frame-Options ALLOW-FROM http://to.be.deleted.com early
Header unset X-Frame-Options

最初のルールは、他のエージェントがクリックジャック防止の責任を負い、世界を救う試みをスキップできることを内部リクエストハンドラーに伝えます。「初期」処理で実行されます。2 番目のルールは、まったく不要な X-Frame-Options ヘッダーを取り除きます。「遅い」処理で実行されます。

また、適切な Content-Security-Policy ヘッダーを追加して、世界が保護されたまま、信頼できるサイトからのマルチソース Javascript が引き続き実行されるようにします。

于 2018-01-24T19:18:36.923 に答える