X-Frame-Options에서 ALLOW-FROOM을 설정할 때 슬래시를 잊지 마십시오.

개시하다


이 글은 iframe이 특정 영역의 내용을 읽을 수 있도록 하는 설정을 실행할 때 찾기 어려운 X-Frame-Options의 설정 방법을 노트한 것이다.

메모지


Content Security Policyframe-ancestors를 설정할 수 있지만 인터넷 Explorer는 프레임-ancestors가 지원하지 않기 때문에 X-Frame-Options에서 같은 설정을 할 수 있습니다.
Rails 응용 프로그램에서는 처음에 다음과 같이 설정되어 있습니다.
config.action_dispatch.default_headers['X-Frame-Options'] = 'ALLOW-FROM https://test.jp'
config.action_dispatch.default_headers['Content-Security-Policy'] = 'frame-ancestors https://test.jp'
IE 이외의 브라우저에서는 frame-ancestors의 설정이 유효하지만 IE에만 다음 그림 오류가 발생하여 X-Frame-Options가 유효하지 않습니다.

최종 도착RFC7034은 2.2.1항에서 정례를 찾았다.
2.2.1. Examples of X-Frame-Options
X-Frame-Options: ALLOW-FROM https://example.com/ 👈 빗장이 있다
사선으로 수정하면 iframe로 잘 보일 거예요.
config.action_dispatch.default_headers['X-Frame-Options'] = 'ALLOW-FROM https://test.jp/'
config.action_dispatch.default_headers['Content-Security-Policy'] = 'frame-ancestors https://test.jp'

총결산


X-Frame-Options ALLOW-FROOM을 설정하려면 IE 대응이 필요한 경우 uri에 사선을 넣습니다.

좋은 웹페이지 즐겨찾기