http - X-frame-options 和 Allow-access-control-origin 标头的组合
问题描述
我有三个网站:
- a.com
- b-dev.com
- b-tst.com
我想将网站 B 放在网站 A 的 iframe 中。这适用于 b-dev,但不适用于 b-tst。在检查了 b-dev 和 b-tst 的响应标头后,我注意到它们都有标头X-frame-options: SAMEORIGIN
,但只有 b-dev(有效的标头)具有Allow-access-control-origin: *
. 我想得出这样的结论,即 X-frame-options 标头由于另一个标头而被忽略。这个对吗?
我们希望将响应标头更改为更安全一些。是否可以将星号更改为“a.com”以保留现有行为但仅适用于网站 A?
解决方案
推荐阅读
- sql - 向 FOR XML PATH 生成的根元素添加属性
- r - How can I create a popup input dialogue box with multiple inputs in R?
- python - 在 Python 列中基于年份创建标签
- c - C 中 malloc 的内存泄漏问题
- c - 实现一个函数以递归地返回一个有效的获胜条件 - C
- dialogflow-es - Actions on Google - 处理来自对话流的轮播响应
- ansible - 在ansible中迭代result的结果
- java - Java:找不到 javacv 指针类
- powershell - 创建运行带有参数的 powershell 脚本的计划任务时出现问题
- php - 内存不足(分配899678208)(尝试分配262144字节)