我需要从位于最顶层为 Facebook 创建的页面上的锚点打开一个 URL。做了一些研究,我发现新的 X-Frame-Options 限制正在阻止此操作,并且可能的解决方法是允许在请求者级别进行访问,即。我的应用程序。
该应用程序通过 IIS 6 托管,因此我可以轻松添加所需的自定义标头 X-Frame-Options ALLOW-FROM http://www.mywebsite.com/,但是,尝试单击时仍然收到拒绝消息我的页面中的链接。
我无法升级到更新版本的 IIS,因为营销材料已经发布。有没有其他方法可以解决这个问题,还是我在错误的位置添加了 X-Frame-Options?
另外,我的两个锚点中都有 target="_top" 。
我需要从位于最顶层为 Facebook 创建的页面上的锚点打开一个 URL。做了一些研究,我发现新的 X-Frame-Options 限制阻止了这个动作
不,这是相反的方式 - X-Frame-Options 标头的作用是限制文档在任何类型的框架环境中显示。
并且可能的解决方法是允许在请求者级别进行访问,即。我的应用程序。
不可以。响应者,即传递资源的 Web 服务器,必须设置该标头来控制文档可以显示或不显示的位置。
根据我的经验,请考虑以下场景: 域 A:您的域 域 B:Facebook
您在 IIS 中的 HTTP 响应标头规则(假设您使用的是 IIS)将是: 名称:X-Frame-Options 值:ALLOW-FROM http://www.facebook.com
这将允许 facebook 托管一个 iFrame,其中包含您的内容。iFrame 的父级是 facebook.com,这就是您必须使用这种方法的原因。如果您在 ALLOW-FROM 值中提供的主机标头与托管域相同,则将该值设置为 SAMEORIGIN。