iframe 有问题(无法控制,因为这些是我拥有的系统附带的)和跨站点的东西。
已将通常添加X-Frame-Options到我的.htaccess文件中以包含指令,以允许它允许来自想要 iframe 站点的其他系统的 iframe。一开始没问题。
<IfModule mod_headers.c>
标头始终设置 X-Frame-Options "ALLOW-FROM https://otherhost "
</IfModule>
而且我可以确认上述内容正在生效,因为我弄乱了标题内容并得到了反映。
出于某种原因,我一直看到X-Frame-Options ALLOW-FROM https://otherhost, SAMEORIGIN带有这个附加的标头SAMEORIGIN,这当然是无效的并且在浏览器中失败,最终导致浏览器回退到DENY,这意味着 iframe 没有显示。
apache2 规范说明了该set选项,即;
设置响应标头,用此名称替换任何先前的标头。该值可以是格式字符串。
但是我没有看到它替换了字符串。如果我curl登录页面,它会正确显示,如果我在 chrome/safari 检查器中检查它,它会显示附加信息, SAMEORIGIN,然后抱怨它无效。
我什至尝试使用该指令的unset选项Header,但它仍然会继续生成此标头。
Header指令是发布还是预输出?因为这让我发疯,并为一件简单的事情浪费了很多时间。