拒绝在框架中显示 xyz，因为它设置了 X-Frame-Options - 我可以设置允许的域吗？

Question

我正在整理一个即将进行渗透测试的网站，我们已被要求将 X-Frame-Options 标头添加到我们的服务器配置中。添加以下标头时，它会在我们使用 iframe 的 console.log 中给我一条错误消息

-- nginx 头文件--

add_header 'X-Frame-Options' "SAMEORIGIN";

-- 错误--

`拒绝在框架中显示“https://api.domain.com/”，因为它将“X-Frame-Options”设置为“sameorigin”。

显然，我了解此标头的安全原因，但我们的网站有一个我们根本无法更改的 iframe，并且它位于不同的域中，例如 oldapp.domain.com 而不是 api.domain.com。 我会使用ALLOW-FROM uri 指令来允许来自这个其他域，但不再推荐使用此指令，是否有替代ALLOW-FROM uri 的方法可以让我简单地添加一个可以允许显示 iframe 内容的域？

Answer 1

对于除一些较旧的浏览器（如 IE）之外的所有浏览器，您应该使用 Content-Security-Policy 和 frame-ancestors 指令。使用 CSP 框架祖先，您可以使用通配符 *.domain.com 或多个来源“oldapp.domain.com api.domain.com www.domain.com”。

X-Frame-Options ALLOW-FROM 仅接受一个 uri，您可能必须根据传入请求从允许的主机名列表中动态设置 uri。或者，如果您不需要完全支持 IE 和其他过时的浏览器，则可以将该值设置为 SAMEORIGIN，因为如果存在 CSP 框架祖先，则 X-Frame-Options 将被忽略。