2
我正在Apache上構建一個Web應用程序。爲了防止「點擊劫持」,它被認爲:與內部網站點的X框架選項
大多數現代Web瀏覽器支持X框,選擇HTTP標頭,確保它的設置對您的網站返回的所有網頁(如果你期望中的頁面只能通過服務器上的頁面進行構建(例如,它是FRAMESET的一部分),那麼您需要使用SAMEORIGIN,否則如果您從不期望頁面被構建,則應使用DENY)。
但是,我需要允許來自一個網站的幀。這就是典型的做法(在.htaccess)是這樣的:
Header set X-Frame-Options ALLOW-FROM https://www.that-site.com
然而(再次),我需要允許來自該網站是我的本地SharePoint網站(即我們通過http://sharepoint/SitePages/Home.aspx訪問)。我嘗試了幾個不同的東西,但他們都將網站取消,除了SAMEORIGIN,它禁止我需要的框架。有可能這些設置已經在php.ini中,但我沒有被授予訪問權限,本週我無法真正打擾我的IT員工出現這樣的問題。
幫助?