l'intestazione x-frame-options non impedisce di mostrare il sito in iframe

0

Per il mio sito, vedo che tra le intestazioni di risposta c'è X-Frame-Options: SAMEORIGIN . Posso comunque visualizzare l'anteprima del mio sito in iframe di un sito diverso, ad esempio qui . Ma mi aspettavo di non farlo. Presumo che si tratti di un lavoro di back-end per aggiungere altre impostazioni che impedirebbero il rendering del sito in iframe? Ho pensato che se restituisce l'intestazione sopra la funzionalità di sicurezza che impedisce di mostrare il sito in iframe è già in atto. Non è vero?

AGGIORNAMENTO: È colpa mia se non ho specificato che questa intestazione viene restituita per ogni xhr, ma non esiste tale intestazione per le risorse statiche (html, js, css, immagini). Potrebbe essere una ragione?

UPDATE2: Ho chiesto a BE di fornire l'intestazione anche per le risorse statiche. Dopo l'implementazione condividerò se aiuta o meno.

    
posta Olena Horal 27.12.2016 - 18:33
fonte

1 risposta

1

Ho chiesto di pubblicare l'URL in modo che più occhi possano esaminare l'intestazione.

Se ciò non può essere fatto, controlla quanto segue guardando l'intestazione mentre il tuo browser lo vede negli strumenti di sviluppo.

Se questa intestazione è impostata più di una volta, può causare il malfunzionamento della direttiva perché il browser condenserà più istanze della stessa intestazione in una in modo che diventi:

X-Frame-Options: SAMEORIGIN,SAMEORIGIN

e questo valore non è uno dei tre consentiti, quindi l'intestazione verrà ignorata.

Ad esempio, se il tuo server web lo imposta e poi il codice nell'applicazione lo imposta di nuovo, succederà.

fonte: link

    
risposta data 28.12.2016 - 14:37
fonte

Leggi altre domande sui tag