我已经将X-Frame-Option设为SameOrigin。但是我仍然可以从不同来源在IFrame中渲染同一文档。
首先,正确的标题名称是X-Frame-Options
而不是X-Frame-Option
请阅读Security#default-headers以了解如何更改默认标题,包括X-Frame-Options
。
鉴于您要在控制器中更改X-Frame-Options
,可以使用类似以下内容:
class MyAwesomeController < ApplicationController
def show
response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://mysite"
end
end
毕竟,花一些时间来阅读X-FRAME-OPTIONS
与Frame-Ancestors
的关系,在某些浏览器中X-FRAME-OPTIONS
似乎已被弃用。好的阅读可以从这个讨论开始X-Frame-Options Allow-From multiple domains