2
我有一個問題使用X-Frame-Options嵌入一個網站作爲iFrame到另一個(不同的域)與IE 11和邊緣。我的研究和經驗表明IE還不支持CSP 2級框架祖先,所以我必須使用X-Frame-Options。Internet Explorer的X框架選項允許從在IE 11和邊緣不工作
我已將響應標頭 X-Frame-Options: ALLOW-FROM https://<mysite>.com 添加到需要嵌入的網站。
這些是受保護的網站,所以我無法提供真正的URL到這個社區。
當我啓動主站點時,其中包含來自第二個站點的內容的iFrame,我能夠在iframe內容的響應中看到X-Frame-Options標題,並且它看起來應用正確。但是,IE表示「...修改此頁面以幫助防止跨站點腳本」,並且我的框架僅包含#符號。
由於計時和內部IT延遲,我無法將這兩個站點託管在同一個域中。
任何人都可以幫助解釋我在執行X-Frame-Options時做錯了什麼,或者如果有另一個選項來達到預期的效果嗎?
請檢查瀏覽器是否支持'ALLOW-FROM' [https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Browser_Support](https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Browser_Support ) – Rohit
OWASP表示支持Allow-From從IE9開始。我的問題是在IE 11和Edge,Win 8和10上。它可能是Win7上的一個問題,但我還沒有能夠測試。 –