我在为我的UI设置安全策略时遇到一些问题,这些策略可以由多个站点构成。我正在设置具有多个框架祖先的CSP策略。添加XFrame选项是强制性的,所以如果我把它留空,那么渲染所有UI的父类将添加与CSP框架祖先相矛盾的XFO SAMEORIGIN。
一种选择是使用ALLOWALL但不广泛支持。有没有其他方法我可以设置X帧选项但允许多个Uris?
答案 0 :(得分:1)
如果您提供的值无效,则基本上会忽略X-Frame-Options,从而允许它回退到您提供的帧祖先。
既然它可以是任何价值,那就玩得开心:
X-Frame-Options: totally chill