修改 .htaccess 中的标头 x-frame-options

【问题标题】:Modify headers x-frame-options in .htaccess修改 .htaccess 中的标头 x-frame-options
【发布时间】:2017-02-09 20:41:21
【问题描述】:

我正在尝试修改 .htaccess 文件中的 x-frame-options。 我希望只允许一个特定站点(同源站点除外) 尽管我可以完全否认,但我不知道如何只允许一个站点使用它,我在 MDN 上查找了文档,但肯定是忽略了某些东西,或者我没有正确理解。

确实可以阻止所有人的代码:

Header set X-Frame-Options DENY

以下示例均无效,并导致 500 外部错误

Header set X-Frame-Options ALLOW-FROM URL

Header set X-Frame-Options: ALLOW-FROM URL

X-Frame-Options: ALLOW-FROM URL

我在 htaccess 文件中有其他代码,并在文件的第一行添加了以上所有代码进行测试。

感谢您的帮助。

【问题讨论】:

    标签: .htaccess x-frame-options


    【解决方案1】:

    用途:

    Header set X-Frame-Options "ALLOW-FROM URL"

    因为语法是:

    Header set <header-name> <header-value>

    DENY 是一个词,因此它被解析为标头值,但 ALLOW-FROM your.url 被解析为两个参数,因此 apache 抱怨 your.url 作为未知参数。

    它必须被引用才能被视为整个标题值。这就像命令行参数。

    【讨论】:

    • 'X-frame allow-from url' 可能不被某些浏览器接受,但是对于这个问题,这个答案是非常正确的,应该是可以接受的答案。这个答案实际上处理了 500 错误代码。
    【解决方案2】:

    并非所有浏览器都支持“ALLOW-FROM uri”。 参考:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

    【讨论】:

    • 我确实后来更彻底地阅读了它,但忘记更新问题了。谢谢!
    【解决方案3】:

    我试图把它放在 htaccess 中

    Header always unset X-Frame-Options


    并将其放在某个目录中,以便任何网络都可以嵌入该文件夹..事实上它在 htaccess 中不起作用
    但我必须把它放在 apache 的 conf 文件中并在 wich 目录中进行定义

    <Directory /var/www/rootweb/html/public/vr/virtualvenue>
    Header always unset X-Frame-Options
</Directory>

    所以你过滤每个网站就像白名单一样,我选择这个更容易,因为任何网站都可以嵌入我的虚拟

    【讨论】:

      猜你喜欢
      • 2017-07-25
      • 2013-11-16
      • 1970-01-01
      • 2017-12-07
      • 2020-07-21
      • 2019-03-15
      • 2019-03-31
      • 2022-12-18
      • 2015-09-19
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode