Iframe 如何将X帧选项设置为允许从https://example.com 和服务器上的SAMEORIGIN

Iframe 如何将X帧选项设置为允许从https://example.com 和服务器上的SAMEORIGIN,iframe,webserver,x-frame-options,Iframe,Webserver,X Frame Options,我需要将服务器级别上的X-Frame选项设置为: X-Frame-Options:SAMEORIGIN X帧选项:允许从 了解X帧选项是互斥的。看 但是,我的应用程序需要在中以及从其同一来源构建框架 请告知是否有办法解决此问题,同时保留我的应用程序的要求,即允许在同一来源上设置框架,并在1个外部站点上设置框架 或者这是不可能的?除了只支持一个标头实例之外,X-Frame-Options不支持任何多于一个站点,SAMEORIGIN或不支持 您必须使用内容安全策略和框架祖先,它们确实支持多个来源

我需要将服务器级别上的X-Frame选项设置为:

  • X-Frame-Options:SAMEORIGIN
  • X帧选项:允许从
了解X帧选项是互斥的。看

但是,我的应用程序需要在中以及从其同一来源构建框架

请告知是否有办法解决此问题,同时保留我的应用程序的要求,即允许在同一来源上设置框架,并在1个外部站点上设置框架


或者这是不可能的?

除了只支持一个标头实例之外,
X-Frame-Options
不支持任何多于一个站点,
SAMEORIGIN
或不支持

您必须使用
内容安全策略
框架祖先
,它们确实支持多个来源,如下所示:

内容安全策略:框架祖先“自我”https://example.com
需要记住的几个注意事项:

  • -这意味着如果存在
    帧祖先
    ,并且浏览器支持它,它将覆盖
    X-frame-Options
    的行为
  • Internet Explorer和Edge当前不支持
    帧祖先
    指令。这意味着它们将退回到
    X-Frame-Options
    。如果您需要在IE或Edge中支持多个原点

我有一个类似的要求,我在global.asax中处理。我检查了来自请求的位置,并基于此将头值更改为sameorigin或allow from。希望能有所帮助。

任何帮助都将不胜感激。这个答案是正确的,应该被接受(并投票表决)