我正在開發Rails應用程序,客戶可以使用的I幀他們的網站嵌入。我正在尋找一種方法,只允許我的客戶嵌入應用程序。 我所熟悉的X框選項,即:如何允許一對夫婦的網站在iframe中被加載我的應用程序?
response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.example.com"
(從X-Frame-Options ALLOW-FROM a specific site allows from all)
有沒有一種方法可以讓一些網站的?
OK,章魚保羅把我在正確的軌道上。我在application.rb中與下面的代碼解決了這個:
config.action_dispatch.default_headers = {
referer = request.headers['Referer']
site = 'http://www.example.com'
if (referer =~ Regexp.new "\\A#{site}")
'X-Frame-Options' => 'ALLOWALL'
else
'X-Frame-Options' => 'SAMEORIGIN'
end
}
現在我只需要掃描使用此代碼允許站點的列表,我做了,我猜。
看來你不能爲ALLOW-FROM這裏指定的供應超過1網站:http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-幀options.aspx。轉到該網址並搜索:'請注意,Allow-From令牌不支持通配符或多個來源列表。看看這裏太:http://stackoverflow.com/questions/10205192/x-frame-options-allow-from-multiple-domains – cristian
感謝您的鏈接!它實際上暗示了一種可以回答我的問題的設計模式,正好在您建議的搜索範圍之下。但後來我需要具有iframe的網站的網址。我如何獲得這個? – Jelle
如果你能找到的IP地址,你可以通過你的HTTP服務器阻止所有其他IP –