我有一個網頁,呈現一些嵌套的iFrames。假設abc.com載入def.com,然後在另一個iFrame中打開ghi.com。 abc.com - > def.com - > ghi.com在嵌套iFrame的情況下,x-Frame-option如何工作?
ghi.com有選項設置爲僅允許某些特定網站的iframe它。 ghi.com中的設置應該如何呈現?我們是否需要白名單列出abc.com和def.com,或者僅列出def.com或abc.com?
我碰到這種情況與X框選項時試圖允許IE 11。這種情況下,我發現把的X架,期權價值「允許-FROM頂級站點域」工作用於嵌套iFrame中的響應。使用你的榜樣,兩者def.com和ghi.com響應將設置類似標題:
「X-框架 - 選項」:允許一-FROM abc.com
作爲一個側面說明,根據OWasp,在您的示例中將X-Frame-Options標題設置爲def.com的ALLOW-FROM和ghi.com的SAMEORIGIN不起作用。
請記住,其他的瀏覽器,如Chrome瀏覽器的支持內容安全,政策,你還需要進行設置。在我們的情況下,我們的域名都是子域名,所以我們的場景通過使用通配符的頭域很容易解決。 first.example.com - > second.example.com - > third.example.com的場景允許我們爲第二個和第三個.example.com響應標頭設置以下內容:
「Content-Security-Policy」 :frame-ancestors'self'https://*.example.com