X-Frame-Options sur apache

j'essaie de permettre à un domaine particulier d'accéder à mon site via iframe"" 

Header set X-Frame-Options ALLOW-FROM https://www.that-site.com

je sais que cela peut être fait en ajoutant la ligne ci-dessus à la configuration du serveur Apache.

deux questions ici.

1) quel fichier de configuration doit être ajouté? L'apache tournant à la fois sous Unix et sous windows, si ce n'est le même fichier

2) tout en activant le all-from, je veux quand même être capable d'exécuter quelques iframe à partir de mon propre nom de domaine. Puis-je simplement ajouter la ligne suivante après le permettre? 

 Header set X-Frame-Options SAMEORIGIN

ou je devrais juste ajouter mon propre domaine dans le all-from, ie 

 Header set X-Frame-Options ALLOW-FROM https://www.that-site.com, http://www.my-own-domain.com

doit vraiment résoudre ça. Merci d'avance

25
demandé sur user1619397 2013-06-13 20:21:47

4 réponses

  1. vous pouvez ajouter à .htaccess , httpd.conf ou VirtualHost section
  2. Header set X-Frame-Options SAMEORIGIN c'est la meilleure option

Allow from URI n'est pas supporté par tous les navigateurs. Référence: X-Frame-Options on MDN

26
répondu Chakri 2017-02-27 13:43:36

Voir X-Frame-Options d'en-tête de réponse d'erreur

, Vous pouvez simplement ajouter la ligne suivante .htaccess 

Header always unset X-Frame-Options
17
répondu Martin 2015-02-21 08:57:55

cela a fonctionné pour moi sur tous les navigateurs:

  1. a créé une page avec tout mon javascript
  2. a créé une deuxième page sur le même serveur et a intégré la première page en utilisant la balise objet.
  3. sur mon site tiers j'ai utilisé la balise objet pour intégrer la 2ème page.
  4. a Créé un .le fichier htaccess sur le serveur original dans le dossier public_html et y mettre L'en-tête désactivé X-Frame-Options.
1
répondu VirtualProzac 2016-12-30 03:15:07

j'ai trouvé que si l'application dans le serveur httpd a une règle comme" si L'en-tête X-Frame-Options existe et a une valeur, laissez-la; sinon ajoutez l'en-tête X-Frame-Options: SAMEORIGIN " puis un httpd.la règle conf mod_headers comme "Header always unset X-Frame-Options" ne suffirait pas. La même valeur D'origine touchait toujours le client.

pour remédier à cela, j'ajoute deux, et non une, Règles mod_headers (dans la version externe de httpd.fichier conf): 

Header set X-Frame-Options ALLOW-FROM http://to.be.deleted.com early
Header unset X-Frame-Options

la première règle indique à tout gestionnaire de requêtes interne qu'un autre agent a pris la responsabilité de la prévention du clickjack et qu'il peut sauter sa tentative de sauver le monde. Il fonctionne avec un "début" de traitement. La seconde règle supprime l'en-tête X-Frame-Options totalement indésirable. Il fonctionne avec un traitement" tardif".

j'ajoute également les en-têtes appropriés de contenu-Sécurité-Politique de sorte que le monde reste protégé mais multi-source Javascript de confiance les sites fonctionnent toujours.

0
répondu Lonnie 2018-01-24 19:18:36