2
我正在Apache上构建一个Web应用程序。为了防止“点击劫持”,它被认为:与内部网站点的X框架选项
大多数现代Web浏览器支持X框,选择HTTP标头,确保它的设置对您的网站返回的所有网页(如果你期望中的页面只能通过服务器上的页面进行构建(例如,它是FRAMESET的一部分),那么您需要使用SAMEORIGIN,否则如果您从不期望页面被构建,则应使用DENY)。
但是,我需要允许来自一个网站的帧。这就是典型的做法(在.htaccess)是这样的:
Header set X-Frame-Options ALLOW-FROM https://www.that-site.com
然而(再次),我需要允许来自该网站是我的本地SharePoint网站(即我们通过http://sharepoint/SitePages/Home.aspx访问)。我尝试了几个不同的东西,但他们都将网站取消,除了SAMEORIGIN,它禁止我需要的框架。有可能这些设置已经在php.ini中,但我没有被授予访问权限,本周我无法真正打扰我的IT员工出现这样的问题。
帮助?