使用" X-Frame-Options:ALLOW-FROM"我如何允许一个域,但有http和https请求?
我有下面的标题,但客户端也在http://www.example.com中为该网站提供服务。
X-Frame-Options: ALLOW-FROM https://www.example.com
答案 0 :(得分:3)
似乎没有选择在同一ALLOW-FROM标头中允许HTTP和HTTPS方案。引自the spec。
作为"允许来自"字段仅支持一个序列化原点,在 服务器希望允许多个资源进行构建的情况 其内容,以下设计模式可以满足这一需求:
要在框架中呈现所请求内容的页面 将自己的原始信息提供给提供的服务器 要通过查询字符串参数构建的内容。
服务器验证主机名是否符合其条件,以便 允许页面由目标资源构成。这个 例如,可以通过查找受信任的白名单来实现 允许构建页面的域名。例如, 对于Facebook"喜欢"按钮,服务器可以检查看到 提供的主机名与预期的主机名匹配 "像"按钮。
服务器在" X-Frame-Options:ALLOW-FROM"中返回主机名。 如果在步骤#2中符合适当的标准。
浏览器强制执行" X-Frame-Options:ALLOW-FROM"报头中。