我有一些静态 Assets ,我想在多个桌面/移动网络客户端的 iframe 中提供服务。
现在,我如何将允许的一组特定来源列入白名单 X-Frame-Options header 的设置,以便资源可以作为 iframe 嵌入 在不同的桌面/移动网络客户端中。 对于所有其他来源,拒绝访问此资源。
经过一些挖掘,我开始了 -
const app = express();
var allowCrossDomain = function (req, res, next) {
res.header('Access-Control-Allow-Origin', '*');
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE,OPTIONS');
res.header('Access-Control-Allow-Headers', 'Content-Type, X-Requested-With, Authorization');
if (req.method === "OPTIONS") res.send(200);
else next();
}
app.use(allowCrossDomain);
现在在这里如何使用白名单原始值设置 X-Frame-Options header -
最佳答案
您应该导入 helmet并使用 frameguard将一些来源列入白名单。有关此主题的更多信息:MDN X-FRAME-OPTIONS Best Practice Security
关于javascript - 如何在 express.js node.js 中设置 X-Frame-Options,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46998540/