add_header X-Frame-Options DENY;
seems not working for us.我们的目的是展示我们托管的网页之一作为PCI相关问题的iframe,而我们在succeded但要避免点击劫持,我们推荐使用x-frame-options DENY
,但我们不能这样做,因为我们希望我们的用户使用框架我们开发,因此该解决方案可能会使用x-frame-options ALLOW FROM uri
。
我们试图add_header X-Frame-Options DENY;
,看看我们的应用程序被限制在首位的iframe,但iframe是仍然可见。我们验证了几次,如果添加标题可能是在nginx的CONF错了地方,但事实并非如此。
附:下面的图像是用于参考,但我们仍然可以看到的角应用成功地渲染帧:(
你可能使用的浏览器,因为它在Chrome 68工作方式您可以检查JavaScript错误,并与F12的HTTP标头。
<iframe src="https://www.facebook.com"></iframe>
比方说,在托管页是URI1和您的主机页面是URI2
什么是响应头,当你发送一个GET请求,直接拿到URI1?
我认为你的“X-框架选项”添加为URI2的反应,而不是URI1的