我正在 Apache 上构建一个 Web 应用程序。为了防止“点击劫持”,建议:
大多数现代 Web 浏览器都支持 X-Frame-Options HTTP 标头,确保在您的站点返回的所有网页上设置它(如果您希望该页面仅由服务器上的页面构成(例如,它是 FRAMESET 的一部分),那么您' 将要使用 SAMEORIGIN,否则如果您从不期望页面被加框,则应使用 DENY)。
但是,我需要允许来自一个站点的框架。这通常是这样完成的(在 .htaccess 中):
Header set X-Frame-Options ALLOW-FROM https://www.that-site.com
但是(再次),我需要允许的站点是我的本地 Sharepoint 站点(我们通过 访问http://sharepoint/SitePages/Home.aspx)。我尝试了一些不同的方法,但它们都关闭了站点,除了SAMEORIGIN,它不允许我需要的框架。有可能这些设置已经在 php.ini 中,但我没有被授予访问权限,并且本周我无法真正打扰我的 IT 员工解决这样的问题。
帮助?!