X-Frame-Options ALLOW-FROM 真的被弃用了吗?

【问题标题】:Is X-Frame-Options ALLOW-FROM really deprecated?X-Frame-Options ALLOW-FROM 真的被弃用了吗?
【发布时间】:2020-04-16 14:48:51
【问题描述】:

我不确定此 HTTP 标头的确切状态。某些来源(例如 MozillaCaniuse)清楚地表明,自 Firefox 70 版以来此标头已被删除,并已被 Content-Security-Policy: frame-ancestors 取代。

尽管如此,我可以看到 X-Frame-Options: ALLOW-FROM myServerURI 仍在工作:使用 Firefox 75,我清楚地看到设置此标头或不设置服务器端仍然对 iFrame 产生影响:内部内容在何时被允许或被阻止标头是否存在。

使用 Firefox F12 / Web 开发人员工具 Network, Headers 检查服务器的响应标头,清楚地显示此标头的存在以及对结果的影响。在这种情况下,还存在一个 Content-Security-Policy 标头,但没有 frame-ancestors 指令。

【问题讨论】:

    标签: firefox iframe http-headers


    【解决方案1】:

    你的测试一定有问题。

    当我尝试在 Firefox 75 中使用它时,我在控制台中收到错误消息:

    X-Frame-Options 无效:“http://localhost:7007/”中的“ALLOW-FROM http://www.example.com/”标头已加载到“http://localhost:8080/”中。

    …即使 iframe 托管在 http://localhost:8080/ 而不是 http://www.example.com/ 上,内容也会显示在框架中

    【讨论】:

    • 很高兴您完成了测试。我刚刚又做了一次,查看了浏览器控制台,没有消息。在 Linux 上的 Firefox 75 和 Windows 上的 Chrome 81 上进行了测试。上下文是包含一个名为 Rainloop 的网络邮件工具。他们有一个选项x_frame_options_header,当我将其设置为ALLOW-FROM https://myWebSite 时,包含在我的网站中可以正常工作,而当我将此选项留空时则不起作用。使用 FFox / F12 清楚地表明 X-Frame-Options 设置为此 x_frame_options_header 选项的内容。
    猜你喜欢
    • 2012-04-29
    • 2016-12-09
    • 2019-03-25
    • 1970-01-01
    • 2015-08-24
    • 2017-08-02
    • 2016-12-14
    • 2012-05-26
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode