2
X-Frame-Optionsを使用して1つのサイトをiFrameとしてIE 11およびEdgeの別の(異なるドメイン)に埋め込むことに問題があります。私の研究と経験から、IEはまだCSPレベル2のフレーム先祖をサポートしていないので、X-Frame-Optionsを使用しなければならないことを示しています。Internet ExplorerのX-Frame-OptionsがIE 11およびEdgeで動作しない
埋め込みが必要なサイトにレスポンスヘッダー X-Frame-Options: ALLOW-FROM https://<mysite>.com を追加しました。
これらは保護されたサイトなので、このコミュニティに実際のURLを提供することはできません。
2番目のサイトのコンテンツを含むiFrameを含むメインサイトを起動すると、iframeコンテンツの応答にX-Frame-Optionsヘッダーが表示され、正しく適用されているように見えます。ただし、IEは "...このページを変更してクロスサイトスクリプティングを防止しました"と表示し、フレームには#シンボルのみが含まれています。
タイミングと内部のIT遅延のため、同じドメインに両方のサイトをホストすることはできません。
X-Frame-Optionsの実装に間違ったことを説明するのに役立つ人がいますか、または希望の効果を達成するための別のオプションがあるかどうかを教えてください。
「ALLOW-FROM」のブラウザサポートをご確認ください[https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Browser_Support](https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Browser_Support ) – Rohit
OWASPは、IE9以上でAllow-Fromがサポートされていることを示しています。私の問題はIE 11とEdge、Win 8と10です。Win7では問題があるかもしれませんが、まだテストできませんでした。 –