我在两个Ubuntu 14.04.3 LTS网络服务器上运行相同的django项目(一个"真正的"和一个VM)。 因为这个项目必须在另一个网站的iframe中运行,所以我不得不改为X-Frame-Options。
在我的VM上,我只需要更改security.conf并插入
Header set X-Frame-Options: "ALLOW-FROM https://example.org"
这是HTML标题中的部分:
X-Frame-Options ALLOW-FROM https://example.org
在真实的服务器上,我尝试使用相同的配置。但HTML标题看起来是这样的:X-Frame-Options SAMEORIGIN ALLOW-FROM https://example.org
我不知道这个SAMEORIGIN的位置。 你知道吗,我必须在哪里寻找这个选项?如果查看目录(和子目录)/ etc / apache2中的所有confs,但一无所获。
谢谢!
答案 0 :(得分:1)
如果您正在使用Django,则可能已安装Clickjacking middleware。在settings.py中查找。
MIDDLEWARE_CLASSES = [
...
'django.middleware.clickjacking.XFrameOptionsMiddleware',
...
]
这将从您的应用服务器发送回Apache,Apache会将其作为传递HTTP标头发送到浏览器。