默认情况下,配置 Nginx 都加入如下配置:
add_header X-Frame-Options SAMEORIGIN;
但有的时候业务需要 iframe
,但又不希望全部放开 iframe
的情况下,可以配置某一个:
# 添加以下内容,仅允许 sub.commandnotfound.cn iframe add_header Content-Security-Policy "frame-ancestors 'self' https://sub.commandnotfound.cn";
ALLOW-FROM uri - 已弃用
这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。请注意,在旧版 Firefox 上,它会遇到与 SAMEORIGIN 相同的问题——它不会检查 frame 所有的祖先页面来确定他们是否是同一来源。Content-Security-Policy HTTP 首部有一个 frame-ancestors 指令,你可以使用这一指令来代替。