关于X-Frame-Options(https://developer.mozilla.org/en-US/docs/The_X-FRAME-OPTIONS_response_header),我在解析文档说什么和我看到的内容时遇到了一些困难。我的理解是,当页面返回SAMEORIGIN时,如果具有IFRAME的页面来自同一域,则浏览器将仅加载帧的内容。
我有三台机器。当我登录到SERVER-A时,我导航到SERVER-A上托管的页面。它包含一个IFrame,它从SERVER-B加载页面,但它位于不同的域中。这一切都有效...但是当我去SERVER-C并浏览到同一页面(从SERVER-A提供)时,它将无法加载。查看IE调试工具,该IFramed页面的请求显示已中止的状态。
想法?
答案 0 :(得分:1)
这可以满足您对服务器C的期望 - 您已经声明iFrame不应该加载到X-Frame-Options中不同域的页面中,并且它没有& #39;吨。此安全政策不适用于从localhost加载的网页,这听起来像是您在服务器A上发生的事情,与this situation类似。
您还没有说过您将X-Frame-Options应用于哪些页面:它在iFrame的页面上是重要的(即在您的设置中的服务器B上)。我不认为将标题应用于服务器A会产生影响。