12
私はabc.comのページを提供するために、レールアプリケーションを使用しています。それは、特定のサイトからのiframeを介してアクセスすることができるように、私は(before_filterを介してすべての要求のために)自分のアプリケーションのコントローラに応答ヘッダを設定し(xyz.com)、次のコードを:X-Frame-Options特定のサイトから許可するすべてから許可する
def set_x_frame_options
response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com"
end
問題は、xyz上のabc.comから他のウェブサイトにもアクセスできるだけでなく、私はxyz.comへのアクセスを制限したい。クロムコンソールの応答ヘッダーを調べると、X-Frame-Optionsが正しく渡されているのがわかります。これはすべてのブラウザで起こっています。何か不足していますか?
おそらく関連:https://groups.google.com/a/chromium.org/forum/?fromgroups#!topic/chromium-bugs/ PkrSeB74a38 .. FF/IE9などはどうですか?つまり、影響を受けるのはChromeの[そのバージョン]だけですか? –
も参照してくださいhttp://stackoverflow.com/questions/10658435/x-frame-options-allow-from-in-firefox-and-chrome "問題は次のとおりです。* ALLOW-FROMドメインの結果をNO最新のFirefoxとGoogle Chrome *(その時点でのバージョン)に合わせて、IE8は少なくともALLOW-FROMを正しく実装しているようだ。 "しかし、フレームにはまだコンテンツが表示されます。" –
私はここに投稿する前にそれらの2つのリンクをチェックしました。最初のリンクに関しては、それだと思っていたが、FirefoxとSafariをチェックして、両方が許可されているようだ。 –