我正在使用rails应用程序来从abc.com提供页面。在其中,我在应用程序控制器中设置响应头(对于通过before_filter的每个请求),以便只能通过以下代码通过iframe从特定站点(xyz.com)访问它:
def set_x_frame_options
response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com"
end
问题是,我不仅可以在xyz上访问abc.com页面,还可以访问任何其他网站。我想限制只访问xyz.com。当我在chrome控制台中检查响应头时,我可以看到正确传递了X-Frame-Options。所有浏览器都会发生这种情况。我错过了什么吗?
答案 0 :(得分:1)
对于那些寻找明确答案的人:它没有在webkit中实现,但据报道在版本18.0中可以在Firefox中使用。在OSX上的Firefox 20.0中,以下ruby语法适用于我:
response.headers["X-Frame-Options"] = "Allow-From http://www.website.com"