如果是嵌套的iFrame，x-Frame-option如何工作？

我有一个呈现一些嵌套iFrame的网页。假设abc.com加载def.com，然后在另一个iFrame中打开ghi.com。abc.com->def.com->ghi.com

---

ghi.com的选项设置为仅允许某些特定站点对其进行iFrame。ghi.com中的设置应该是什么以允许渲染？我们需要同时列出abc.com和def.com，还是只列出def.com或abc.com？

在IE 11中尝试允许这种情况时，我遇到了使用X-Frame-Options的情况。我发现在两个嵌套的iFrame中，将X-Frame-Options值设置为“ALLOW-FROM-top-level site-domain”对响应都有效。使用您的示例，def.com和ghi.com响应将设置类似于以下内容的标题：

“X-Frame-Options”：允许来自abc.com

作为补充说明，根据，在您的示例中，将def.com的X-Frame-Options标题设置为ALLOW-FROM和ghi.com的SAMEORIGIN将不起作用

请记住，其他浏览器（如Chrome）支持您还需要设置的内容安全策略。在我们的例子中，我们的域都是子域，所以我们的场景很容易通过使用通配符的这个头来解决。first.example.com->second.example.com->third.example.com的场景允许我们为second.example.com和third.example.com响应头设置以下内容：

---

“内容安全策略”：frame祖先“self”https://*.example.com

我在IE 11中尝试允许此方案时遇到了这种情况。我发现在两个嵌套的iFrame中，将X-Frame-Options值设置为“ALLOW-FROM-top-level site-domain”对响应都有效。使用您的示例，def.com和ghi.com响应将设置类似于以下内容的标题：

“X-Frame-Options”：允许来自abc.com

作为补充说明，根据，在您的示例中，将def.com的X-Frame-Options标题设置为ALLOW-FROM和ghi.com的SAMEORIGIN将不起作用

请记住，其他浏览器（如Chrome）支持您还需要设置的内容安全策略。在我们的例子中，我们的域都是子域，所以我们的场景很容易通过使用通配符的这个头来解决。first.example.com->second.example.com->third.example.com的场景允许我们为second.example.com和third.example.com响应头设置以下内容：

“内容安全策略”：框“自我”https://*.example.com