我正在使用 rails 应用程序来提供来自 abc.com 的页面。在其中,我在我的应用程序 Controller 中设置了响应头(对于通过 before_filter 的每个请求),以便它只能通过 iframe 从特定站点 (xyz.com) 访问,通过以下代码:
def set_x_frame_options
response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com"
end
问题是,我不仅可以在 xyz 上从 abc.com 访问该页面,还可以在任何其他网站上访问该页面。我想只访问 xyz.com。当我检查 chrome 控制台中的响应头时,我可以看到 X-Frame-Options 正在正确传递。这发生在所有浏览器中。我错过了什么吗?
最佳答案
对于那些寻求明确答案的人:它没有在 webkit 中实现,但据报道从版本 18.0 开始在 Firefox 中工作。 .以下 ruby 语法适用于 OSX 上的 Firefox 20.0:
response.headers["X-Frame-Options"] = "Allow-From http://www.website.com"
关于ruby-on-rails - X-Frame-Options ALLOW-FROM 特定站点允许所有,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11514270/