我试图修改.htaccess文件中的x-frame-options。 我想只允许一个特定的网站(除了sameorigin网站) 虽然我能够拒绝所有这些,但我不知道如何只允许一个站点使用它,我已经在MDN上查找了文档,但是必须要么忽略了某些内容,要么我没有正确使用它。
阻止所有人的代码:
Header set X-Frame-Options DENY
以下示例均无效,导致500外部错误
Header set X-Frame-Options ALLOW-FROM URL
Header set X-Frame-Options: ALLOW-FROM URL
X-Frame-Options: ALLOW-FROM URL
我在htaccess文件中有其他代码,并在文件的第一行添加了以上所有内容以进行测试。
感谢您的帮助。
答案 0 :(得分:1)
所有浏览器都不支持“ALLOW-FROM uri”。 参考:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
答案 1 :(得分:1)
使用:
Header set X-Frame-Options "ALLOW-FROM URL"
因为语法是:
Header set <header-name> <header-value>
DENY是一个单词,因此它被解析为标头值,但ALLOW-FROM your.url被解析为两个参数,因此apache抱怨your.url作为未知参数。
必须引用它作为整个标题值。这就像命令行参数。
答案 2 :(得分:0)
我试图将其放在htaccess中
Header always unset X-Frame-Options
并将其放在某个目录中,以便任何网站都可以嵌入该文件夹..实际上,它在htaccess中不起作用
但我必须将其放入apache的conf文件中,并在wich目录中对其进行设计
<Directory /var/www/rootweb/html/public/vr/virtualvenue>
Header always unset X-Frame-Options
</Directory>
因此,您而不是像白名单一样在每个网站中进行过滤,我选择了这种方式,因为任何网站都可以嵌入我的虚拟