13

我正在使用 rails 应用程序来提供来自 abc.com 的页面。在其中,我在我的应用程序控制器中设置了响应标头(对于通过 before_filter 的每个请求),以便只能通过以下代码从特定站点(xyz.com)通过 iframe 访问它:

def set_x_frame_options
  response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com"
end

问题是,我不仅可以从 xyz 上的 abc.com 访问该页面,还可以在任何其他网站上访问该页面。我想限制对 xyz.com 的访问。当我检查 chrome 控制台中的响应标头时,我可以看到 X-Frame-Options 正在正确传递。这发生在所有浏览器中。我错过了什么吗?

4

1 回答 1

1

对于那些寻找明确答案的人:它没有在 webkit 中实现,但据报道在 Firefox 18.0版本中可以使用。以下 ruby​​ 语法适用于 OSX 上的 Firefox 20.0:

response.headers["X-Frame-Options"] = "Allow-From http://www.website.com"
于 2013-06-11T21:12:59.347 回答