У меня возникла проблема с использованием X-Frame-Options
для встраивания одного сайта в качестве iFrame в другой (разные домены) с IE 11 и Edge. Мои исследования и опыт показывают, что IE еще не поддерживает предков кадров CSP уровня 2, поэтому я должен использовать X-Frame-Options
.
Я добавил заголовок ответа X-Frame-Options: ALLOW-FROM https://<mysite>.com
на сайт, который необходимо внедрить.
Это защищенные сайты, поэтому я не могу предоставить этому сообществу настоящие URL-адреса.
Когда я запускаю основной сайт, который содержит iFrame с содержимым со второго сайта, я вижу заголовок X-Frame-Options
в ответе на содержимое iframe, и он выглядит правильно. Однако IE указывает, что "...изменил эту страницу, чтобы предотвратить межсайтовый скриптинг", а мой фрейм содержит только символ #
.
Из-за сроков и внутренних задержек ИТ я не могу разместить оба сайта в одном домене.
Может ли кто-нибудь помочь объяснить, что я сделал неправильно при реализации X-Frame-Options
или есть ли другой вариант для достижения желаемого эффекта?
ALLOW-FROM
https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Browser_Support - person Rohit   schedule 08.08.2016