0

关于 X-Frame-Options ( https://developer.mozilla.org/en-US/docs/The_X-FRAME-OPTIONS_response_header ),我很难解析文档的内容和我的内容我看到了。我的理解是,当页面返回 SAMEORIGIN 时,如果具有 IFRAME 的页面来自同一个域,浏览器只会加载框架的内容。

我有三台机器。当我登录到 SERVER-A 时,我导航到托管在 SERVER-A 上的页面。它包含一个从 SERVER-B 加载页面的 IFrame,但它位于不同的域中。这一切都有效...但是当我转到 SERVER-C 并浏览到同一页面(由 SERVER-A 提供)时,它不会加载。查看 IE 调试工具,对该 IFramed 页面的请求显示为中止状态。

想法?

4

1 回答 1

1

这正如您对服务器 C 所期望的那样工作 - 您已声明 iFrame 不应加载到 X-Frame-Options 中来自不同域的页面中,但事实并非如此。此安全策略不适用于从 localhost 加载的页面,这听起来就像您在服务器 A 上时发生的情况一样,类似于这种情况

您还没有说您已将 X-Frame-Options 应用于哪些页面:重要的是它位于 iFrame 中的页面上(即在您的设置中的服务器 B 上)。我不认为将标头应用于服务器 A 会有所作为。

于 2012-09-30T14:20:28.083 回答