允许来自特定站点的X-Frame-Options ALLOW-FROM
我正在使用rails应用程序来从abc.com提供页面。 在其中,我在应用程序控制器中设置响应头(对于通过before_filter的每个请求),以便只能通过iframe从特定站点(xyz.com)访问它,通过以下代码:
def set_x_frame_options response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com" end 问题是,我不仅可以从xyz上的abc.com访问该页面,还可以访问任何其他网站。 我想限制只访问xyz.com。 当我在chrome控制台中检查响应头时,我可以看到正确传递了X-Frame-Options。 所有浏览器都会发生这种情况。 我错过了什么吗?
对于那些寻找确定答案的人:它没有在webkit中实现,但据报道在Firefox 18.0版本中可以使用。 以下ruby语法适用于OSX上的Firefox 20.0:
response.headers["X-Frame-Options"] = "Allow-From http://www.website.com"