it-swarm-ja.com

NGINXX-Frame-オプションは単一ページからのみ許可されます

ネットワークの1つのサブドメインからのみiframeを許可するようにvHostを設定しようとしています。私たちが持っていた前に:

add_header X-Frame-Options "SAMEORIGIN";すべてのページ。

私がやりたいことを達成するために、私は試しました:

add_header X-Frame-Options https://somewebsite.com;

これにより、必要に応じてiframeが許可されますが、https://somewebsite.comだけでなくすべてのドメインからiframeが許可されます。

すべての外部ページからiframeを拒否し、1つのサブドメインから許可するにはどうすればよいですか?

サイド情報:

両方のサイトが同じマシンで実行されます。

1
Flatron

[〜#〜] rfc [〜#〜]X-Frame-Optionsヘッダーの場合、ヘッダーの有効なオプションは次のとおりです。

  • DENY
  • SAMEORIGIN
  • ALLOW-FROM <uri>

したがって、最初にALLOW-FROMを追加してから、サブドメインのURIを指定する必要があります。このようなもの:

ALLOW-FROM https://subdomain.example.com/
2
heavyd