![](/img/trans.png)
[英]is there a way to render a web page that has X-Frame-Options: deny in its header response with reactjs
[英]X-Frame-Options: Deny all domains expect 3 domains in the web.config
為了避免點擊劫持,我確實希望我的 web 應用程序通過 iFrame 加載。在 web.config 中添加了以下配置以限制來自除以下 3 個域之外的所有域的訪問。
<add name="X-Frame-Options" value="DENY" />
<add name="X-Frame-Options" value="ALLOW-FROM https://domain1 https://domain2 https://domain3" />
上述更改不起作用。
請告訴我正確的 X-Frame-Options 配置以拒絕 web.config 中除 3 個域之外的所有域。 謝謝
如您所見,對 ALLOW-FROM的支持並不廣泛。 您應該改為設置以下 header:
<add name="Content-Security-Policy" value="frame-ancestors domain1 domain2 domain3;" />
設置 Content-Security-Policy frame-ancestors 會廢棄 X-Frame-Options ,因此瀏覽器將忽略該 header 設置的任何值。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.