X-Frame-Option配置在Rails中不起作用

时间:2019-10-04 12:43:13

标签: ruby-on-rails ruby

我已经将X-Frame-Option设为SameOrigin。但是我仍然可以从不同来源在IFrame中渲染同一文档。

2 个答案:

答案 0 :(得分:0)

缺乏有关项目,版本等的信息。

请提供一些代码示例

您是否尝试过rack-cors吗?

答案 1 :(得分:0)

首先,正确的标题名称是X-Frame-Options,而不是X-Frame-Option

请阅读Security#default-headers,以了解如何更改默认标头,包括X-Frame-Options

鉴于您想在控制器中更改X-Frame-Options,可以使用以下方法:

class MyAwesomeController < ApplicationController
  def show
    response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://mysite"
  end
end

毕竟,花一些时间来阅读X-FRAME-OPTIONSFrame-Ancestors的比较,X-FRAME-OPTIONS在某些浏览器中似乎已过时。可以从本讨论开始X-Frame-Options Allow-From multiple domains

相关问题
最新问题