IE 11浏览器如何允许带有xframe-options的多个域?

时间:2019-06-07 09:49:31

标签: spring spring-security internet-explorer-11 x-frame-options

我有一个 URL https://xyz.mydomain.com/app1/ ,并且app1基于spring框架,我想从以下位置访问此Webapp:

  • xyz1.mydomain.com,
  • xyz2.mydomanin.com

,将来也可以通过以下方式访问:

*。mydomain.com 我已经尝试过使用CSP,但是它只能在Chrome和Firefox上运行,而不能在IE 11上运行。

1 个答案:

答案 0 :(得分:0)

IE11不了解CSP。 X-Frame-Options ALLOW-FROM仅设计用于单个域。

基本上,您的选择是:

  • 不在乎为仍然使用仍缺乏现代安全标准的过时浏览器的一小部分用户增加安全性。只需实施CSP并删除X-Frame-Options。
  • 测试对X-Frame-Options的攻击,例如多次添加标头或使用斜杠插入多个域。
  • 根据可接受域的白名单在代码中设置X-Frame-Options。
相关问题
最新问题