我有一个问题使用X-Frame-Options
嵌入一个网站作为iFrame到另一个(不同的域)与IE 11和边缘。我的研究和经验表明IE还不支持CSP 2级框架祖先,所以我必须使用X-Frame-Options
。Internet Explorer的X框架选项允许从在IE 11和边缘不工作
我已将响应标头 X-Frame-Options: ALLOW-FROM https://<mysite>.com
添加到需要嵌入的网站。
这些是受保护的网站,所以我无法提供真正的URL到这个社区。
当我启动主站点时,其中包含来自第二个站点的内容的iFrame,我能够在iframe内容的响应中看到X-Frame-Options
标题,并且它看起来应用正确。但是,IE表示“...修改此页面以帮助防止跨站点脚本”,并且我的框架仅包含#
符号。
由于计时和内部IT延迟,我无法将这两个站点托管在同一个域中。
任何人都可以帮助解释我在执行X-Frame-Options
时做错了什么,或者如果有另一个选项来达到预期的效果吗?
请检查浏览器是否支持'ALLOW-FROM' [https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Browser_Support](https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Browser_Support ) – Rohit
OWASP表示支持Allow-From从IE9开始。我的问题是在IE 11和Edge,Win 8和10上。它可能是Win7上的一个问题,但我还没有能够测试。 –