Я нигде явно не устанавливал в nginx для x-frame-options значение sameorigin, но nginx блокирует html-страницу, отображаемую внутри iframe. Пробовал указывать домен в X-Frame-Options, но безуспешно. Дайте несколько ошибок в консоли, если это поможет. Я читал их и пробовал исправления, но не работал.
https://preview.codecanyon.net/item/product-name/product-id
Он просматривает мою HTML-страницу в iframe.
Проблема не в X-Frame-Options, а в Content-Security-Policy также. Codecanyon устанавливает заголовок CSP, который не позволяет другим сайтам создавать фреймы на своем сайте. Даже если вы разрешите все сайты в заголовке XFO, они могут заблокировать отображение вашего сайта на своем веб-сайте с заголовком CSP.
Но это рынок, они должны открыть разработчику возможность включить iframe на свою страницу предварительного просмотра. Кажется, они не реализовали способ предоставления разработчиком frame-src на странице предварительного просмотра. Таким образом, заголовок CSP Codecanyon находится в режиме «Только отчет». Все работает нормально, хотя в консоли разработчика Chrome вы видите много ошибок.
Кстати, вы реализовали синтаксическую ошибку заголовка CSP: непредвиденная пунктуация в начале.
Если это поможет, позже я понял, что установка предков фреймов для этого конкретного домена позволяет этому домену отображать страницу в iframe. Вы можете сделать это в конфигурационном файле nginx.
