我在Apache上构建Web应用程序。为了防止点击劫持,有人建议:
大多数现代Web浏览器都支持X-Frame-Options HTTP标头,确保它在您网站返回的所有网页上设置(如果您希望页面仅由服务器上的页面构成(例如它& #39;是FRAMESET的一部分)然后你想要使用SAMEORIGIN,否则如果你从不期望页面被框起,你应该使用DENY)。
但是,我需要允许来自一个站点的帧。通常这样做(在.htaccess中):
Header set X-Frame-Options ALLOW-FROM https://www.that-site.com
但是(再次),我需要允许的网站是我的本地Sharepoint网站(我们通过http://sharepoint/SitePages/Home.aspx访问)。我尝试了一些不同的东西,但除了SAMEORIGIN之外,它们都会关闭网站,这会禁止我需要的帧。有可能设置已经在php.ini中,但是我没有被授予访问权限,本周我无法解决我的IT员工这样的问题。
帮助?!
答案 0 :(得分:1)
仅供Mozilla浏览器支持ALLOW-FROM选项。