[英]Missing configuration in AWS amplify custom headers
很难设置自定义标头以防止 Amplify 应用程序上的跨端脚本编写。
这是配置:
customHeaders:
- pattern: '**/*'
headers:
- key: Strict-Transport-Security
value: max-age=31536000; includeSubDomains
- key: X-Frame-Options
value: deny
- key: X-XSS-Protection
value: 1; mode=block
- key: X-Content-Type-Options
value: nosniff
- key: Content-Security-Policy
value: frame-ancestors 'none'
像这样在 iframe 中加载站点时:
<html>
<head></head>
<body>
<h1>IFRAME blocked</h1>
<iframe width=100% height=100% src="https://foo.bar/"></iframe>
</body>
</html>
那么iFrame就被成功屏蔽了。
但是当像这样加载 iframe 时:
<html>
<head></head>
<body>
<h1>IFRAME Not blocked</h1>
<iframe width=100% height=100% src="https://foo.bar/login"></iframe>
</body>
</html>
然后 iFrame 正在渲染页面。
任何想法如何扩展自定义 header 配置以还包括 url 的任何其他“路径”?
请试试这个X-Frame-Options: ALLOW-FROM URL
细节
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.