Изменить заголовки x-frame-options в .htaccess

Я пытаюсь изменить параметры x-frame в моем файле .htaccess. Я хотел бы, чтобы был разрешен только один конкретный сайт (кроме сайта того же происхождения). Хотя я могу запретить это для всех, я понятия не имею, как разрешить его только для одного сайта, я просмотрел документы на MDN , но, должно быть, что-то упустил из виду или я не понимаю это правильно.

Код, который работал, чтобы заблокировать все:

Header set X-Frame-Options DENY

Однако ни один из приведенных ниже примеров не работал и привел к внешней ошибке 500.

Header set X-Frame-Options ALLOW-FROM URL

Header set X-Frame-Options: ALLOW-FROM URL

X-Frame-Options: ALLOW-FROM URL

У меня есть другой код в файле htaccess, и я добавил все вышеперечисленное для проверки в первой строке файла.

Спасибо за любую помощь.


x-frame-options .htaccess
person prettyInPink    schedule 01.10.2016    source источник

Ответы (3)


arrow_upward
1
arrow_downward

«РАЗРЕШИТЬ ОТ uri» поддерживается не всеми браузерами. Ссылка: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

person Vincent Wu    schedule 13.10.2016
comment
На самом деле я прочитал его более внимательно после этого, но забыл обновить вопрос. Спасибо! - person prettyInPink; 14.10.2016

arrow_upward
7
arrow_downward

Использовать:

Header set X-Frame-Options "ALLOW-FROM URL"

Так как синтаксис:

Header set <header-name> <header-value>

DENY — это одно слово, поэтому оно анализируется как значение заголовка, но ALLOW-FROM your.url анализируется как два аргумента, поэтому apache жалуется на your.url как на неизвестный параметр.

Он должен быть заключен в кавычки, чтобы его можно было рассматривать как полное значение заголовка. Это как аргументы командной строки.

person Pierre    schedule 07.09.2017
comment
«URL-адрес разрешения X-frame» может не приниматься некоторыми браузерами, но для этого вопроса этот ответ очень правильный и должен быть принятым ответом. Этот ответ фактически позаботился о коде ошибки 500. - person Chimdi; 18.09.2020

arrow_upward
0
arrow_downward

я пытался вставить это в htaccess

Header always unset X-Frame-Options


и поместите его в какой-нибудь каталог, чтобы любой веб-сайт мог встроить папку. На самом деле это не сработало в htaccess
но я должен поместить его в файл conf apache и определить его в какой каталог

<Directory /var/www/rootweb/html/public/vr/virtualvenue>
    Header always unset X-Frame-Options
</Directory>

поэтому вместо этого вы фильтруете все веб-сайты так же, как белый список, я выбираю этот более простой способ, потому что любые веб-сайты могут встраивать мои виртуальные

person Jay Chou    schedule 11.11.2020