我试图做一些示例facebook画布应用程序,
我在Facebook开发者中创建了应用程序,并在facebook facebook画布中创建了新平台。
我已将Canvas安全网址设为https://www.google.co.in/,https://www.audiotube.com/,https://bitbucket.org
所以我打开了没有加载数据的应用页面
https://apps.facebook.com/521031588051793
但如果我使用其他https网站意味着它将加载ex。 https://eatwater.co.uk
答案 0 :(得分:1)
X-Frame-Options是一项相对较新的网络功能,可以防止framesniffing或clickjacking等恶意攻击。 MVC5等新的开发框架为此提供了开箱即用的支持。如果X-FrameOptions响应标头设置为SAMEORIGIN,则表示该页面只能包含在与所请求页面位于同一域中的网站中的iframe中。
其他选项包括:
DENY:没有网页可以将请求的网页用作iframe。
ALLOW-FROM: http://www.example.com:仅允许来自example.com域。请注意,虽然Chrome和Safari浏览器不支持此功能。
因此,要回答您的问题,apps.facebook.com会请求您在画布应用中包含的网站填写iframe,并且浏览器会阻止请求,因为这些网站会在配置设置为SAMEORIGIN。
看看这个blog post。