我们有一个Android应用程序,它将我们的网站iframe到他们的应用程序中.但是为了防止点击劫持,我们在代理配置中有以下指令.
标题附加 X-FRAME-OPTIONS "SAMEORIGIN"
这是一种非常常见的跨源资源共享策略.
不幸的Webview是,Android浏览器的起源与file:// 我们使用的域不同.这导致错误拒绝显示x-frame-options设置为sameorigin.
什么策略(在代理或客户端)我可以使用允许Android应用程序与我们的网站进行交互(没有完全删除sameorigin)?