我处在一个难题中,可以真正使用一些帮助...
我很难找到有关如何启用网站的信息 - 已经有X-FRAME-OPTIONS:SAMEORIGIN编码 - 从一些特定域加载到iframe(即domain.com将是共同顶级域名(TLD)。问题是,虽然这很容易做到 - 使用X-FRAME-OPTIONS:ALLOW-FROM http://domain.com-,如果那是唯一需要通过iframe访问目标网站的域名。然而,实际上,我实际上需要弄清楚如何为(当前)三个子域设置它 - 有可能在未来允许更多 - 原始TLD(即example1.domain.com,example2。 domain.com和example3.domain.com),能够在预期的iframe中加载时访问该站点。到目前为止,我能够找到关于这个问题的唯一信息有点过时,并且说没有可能允许特定域的通配符引用(或任何其他形式的多域引用)也适用于它随后的子域(或沿着这些线的任何东西),这些子域似乎既有效地发挥作用,也防止恶意个体发生“Clickjackin”。我希望有一个比我更熟悉(并且精通X-FRAME-OPTIONS)的人可能真的能够为我提供可行的解决方案。
提前致谢。
答案 0 :(得分:1)
如果您可以接受X-Frame-Options之外的方法,请考虑创建一个服务器到服务器API,可以调用该API来访问相关内容,然后允许它显示而不需要框架。
也就是说,ClientSite调用后端的API以直接从您那里获取内容并插入内容,而不是包含引用在Web浏览器中进行页面汇编的FramedPage的IFRAME的ClientSite 进入 之前的页面 将页面传递到用户的Web浏览器。
这为您提供了很大的灵活性。您可能需要API密钥,应用基本的服务器到服务器IP地址白名单或任何适合的,以防止不需要的API调用者。