那些遇到过的问题

apache上的X-Frame-Options

use*_*397 29 apache cross-browser x-frame-options clickjacking

我试图允许某个特定域名通过iframe访问我的网站 

Header set X-Frame-Options ALLOW-FROM https://www.that-site.com
Run Code Online (Sandbox Code Playgroud)

我知道这可以通过将上面的行添加到Apache服务器的配置来完成.

这里有两个问题.

1)应该添加哪个配置文件?apache在Unix和windows上运行,如果不是同一个文件

2)在启用all-from时,我仍然希望能够从我自己的域运行一些iframe.我可以在allow-from之后添加以下行吗?

 Header set X-Frame-Options SAMEORIGIN
Run Code Online (Sandbox Code Playgroud)

或者我应该在all-from中添加我自己的域名,即 

 Header set X-Frame-Options ALLOW-FROM https://www.that-site.com, http://www.my-own-domain.com
Run Code Online (Sandbox Code Playgroud)

真的需要解决这个问题.提前致谢

小智 31

  1. 您可以添加到.htaccess,httpd.confVirtualHost部分
  2. Header set X-Frame-Options SAMEORIGIN 这是最好的选择

Allow from URI并非所有浏览器都支持.参考:MDN上的X-Frame-Options

  • 在 ubuntu 18.04 上使用 apache 我需要编辑 /etc/apache2/conf-enabled/ssl-params.conf 并将“Header always set X-Frame-Options DENY”替换为“Header always append X-Frame-Options SAMEORIGIN”并重启apache服务。 (3认同)

Mar*_*tin 23

请参阅错误响应中的X-Frame-Options标头

您只需将以下行添加到.htaccess即可

Header always unset X-Frame-Options
Run Code Online (Sandbox Code Playgroud)

  • 这仅在你想要完全禁用X-Frame-Options时才有用 - 在某些情况下并不总是正确的解决方案.允许Optimizely功能需要管理X-Frame-Options,这也意味着不断更新它.所有网站都应该使用X-Frame-Options来增加访问者的网站安全性. (2认同)

归档时间:

查看次数:

123770 次

最近记录:

5 年,11 月 前
X-Frame-Options:在Firefox和Chrome中允许来自ALLOW-FROM 66
更多相关链接
相关归档
CSS自定义下拉选项适用于所有浏览器IE7 + FF Webkit 38
CORS 预检请求未通过访问控制检查:它没有 HTTP ok 状态 12
跨浏览器语音识别 8
Apache或其他一些CLIENT JAVA实现是否支持HTTP/2? 6
更改php.ini对我的EC2实例的PHP配置没有影响 5
浏览器对CSS Grid的支持 4
div border radius问题(在firefox和opera上) 3
如何更正 Apache2 Ubuntu 默认页面显示而不是 Gitlab 3
如何解决 nginx 服务器上缺少 CURL 扩展? 2
需要javascript - 可以通过服务器端语言强制执行 0
难疑归档
不同浏览器中URL的最大长度是多少? 4676
如何在JavaScript中检查empty/undefined/null字符串? 2645
我怎么知道通过jQuery选择了哪个单选按钮? 2583
如何将命令行参数传递给Node.js程序? 2280
'using'指令应该在命名空间的内部还是外部? 1975
带请求正文的HTTP GET 1896
如果目录尚不存在,如何mkdir? 1784
如何将键/值对添加到JavaScript对象? 1270
如何从Git的暂存区域中删除单个文件,但不将其从索引中删除或撤消对文件本身的更改? 1177
如何在Vim中有效地处理多个文件? 1074