我在使用 X-Frame-Options 时遇到问题使用 IE 11 和 Edge 将一个站点作为 iFrame 嵌入到另一个站点(不同的域)中。我的研究和经验表明 IE 还不支持 CSP Level 2 frame-ancestors,所以我必须使用 X-Frame-Options .
我已经添加了响应头
X-Frame-Options: ALLOW-FROM https://<mysite>.com
到需要嵌入的站点。
这些是安全站点,因此我无法向该社区提供真实的 URL。
当我启动包含第二个站点内容的 iFrame 的主站点时,我能够看到 X-Frame-Options iframe 内容的响应中的 header ,它看起来已正确应用。但是,IE 指示“...修改此页面以帮助防止跨站点脚本”,而我的框架仅包含 #符号。
由于时间安排和内部 IT 延迟,我无法将两个站点托管在同一域中。
任何人都可以帮助解释我在实现 X-Frame-Options 时做错了什么吗?或者是否有其他选择可以达到预期的效果?
最佳答案
IE 11 未遵循 standard , 表示不能用"*",所以要用http/https给域名。
def cors_set_access_control_headers
headers["Access-Control-Allow-Origin"] = "*"
headers["Access-Control-Allow-Methods"] = "GET"
headers["Access-Control-Request-Method"] = "*"
headers["Access-Control-Allow-Headers"] = "Origin, X-Requested-With, Content-Type, Accept, Authorization"
headers["X-Frame-Options"] = "ALLOW-FROM http://172.16.1.159"
headers["X-XSS-Protection"] = "0"
end
关于html - Internet Explorer X-Frame-Options ALLOW-FROM 在 IE 11 和 Edge 中不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38837388/