Angular 7、IIS 7、C# .NET Core、FireFox
对于我的网站:https://www.example.com,如果用户使用https://example.com,x-frames 会失败(注意没有 www)
我正在构建的标题是: Headers.Add("X-frame-options", "ALLOW FROM https://www.example.com,https://example.com");
我已经尝试了无数次迭代,无论我尝试什么,我都无法让它对两者都起作用: https://www.example.com https://example.com
【问题讨论】:
标签: x-frame-options
在一个 ALLOW-FROM 中声明多个域的通配符或列表 不允许声明
和Usage Design Pattern and Example Scenario for the ALLOW-FROM Parameter
- 想要在框架中呈现请求内容的页面 将其自己的原始信息提供给提供 要通过查询字符串参数框定的内容。
例如在 URL 上使用查询字符串。
服务器验证主机名是否符合其条件,以便 页面允许被目标资源框住。这 例如,可能通过查找受信任的白名单来发生 允许构成页面的域名。例如, 对于 Facebook 的“Like”按钮,服务器可以检查以查看 提供的主机名与预期的主机名匹配 “喜欢”按钮。
服务器在“X-Frame-Options: ALLOW-FROM”中返回主机名 如果在第 2 步中满足适当的标准。
浏览器强制执行“X-Frame-Options: ALLOW-FROM”标头。
注意X-Frame-Options 被Content Security Policy (CSP)
取代,frame ancestors directive 确实允许您提供一个列表。
也就是说,在www.example.com 和example.com 上托管同一个网站并没有什么意义。选择其中一个规范并从另一个发出301 重定向到它。
那么您只需要在X-Frame-Options 中允许规范的那个。
【讨论】: