firefox - X-Frame-Options ALLOW-FROM 真的被弃用了吗?
问题描述
我不确定这个 HTTP 标头的确切状态。某些来源(例如Mozilla或Caniuse)清楚地表明此标头自 Firefox 70 版以来已被删除,并已被替换为Content-Security-Policy: frame-ancestors
.
尽管如此,我可以看到它X-Frame-Options: ALLOW-FROM myServerURI
仍然有效:使用 Firefox 75,我清楚地看到是否设置此标头服务器端仍然对 iFrame 产生影响:当标头存在或不存在时,内部内容被允许或被阻止.
使用 Firefox F12 / Web 开发人员工具 Network, Headers 检查服务器的响应标头清楚地显示此标头的存在以及对结果的影响。在这种情况下,还存在一个Content-Security-Policy
标头,但没有该frame-ancestors
指令。
解决方案
你的测试一定有问题。
当我尝试在 Firefox 75 中使用它时,控制台中出现错误:
X-Frame-Options 无效:
http://www.example.com/
“<code>http://localhost:7007/”中的“ALLOW-FROM”标头加载到“<code>http://localhost:8080/”中。
…并且内容显示在框架中,即使 iframe 托管在http://localhost:8080/
而不是http://www.example.com/
推荐阅读
- android - 我的 Wordpress 网站通过 Android/IOS 在 Facebook 浏览器上间歇性加载而没有 CSS
- python - 为什么 .getDownloadURL 返回黑色图像?
- javascript - 有没有办法使用 Redux 制作带有动作按钮的可重用模式?
- firefox - 请求从浏览器获得响应,但 DNS 不解析域
- quasar-framework - Quasar Framework:如何在 q-dialog 中模糊背景?
- javascript - 如何启动使用 craco 模块的 React 应用程序
- mysql - 创建将 mysql 从 5.6 迁移到 8 的触发器语法问题
- java - ActivityResultLauncher 未解析的引用
- javascript - 迭代不尊重顺序 - 不确定我的脚本有什么问题 - Javascript
- javascript - 在 solana 中调用 transaction.from() 后,有什么方法可以获取金额(我们在交易中发送的令牌数量)