我有三个网站:
我想将网站B放在网站A的iframe中。这适用于b-dev但不适用于b-tst。在检查了b-dev和b-tst的响应头之后,我注意到他们两个都有头X-frame-options: SAMEORIGIN,但只有b-dev(有效的那个)有Allow-access-control-origin: *。我想得出结论,由于其他标头,X-frame-options标头被忽略。这是对的吗?
我们希望将响应标头更改为更安全一些。是否可以将星号更改为“a.com”以保留现有行为,但仅限于网站A?