web-dev-qa-db-ja.com

nginxでX-Frame-Options Allow-Fromを正しく設定する方法

NginxでALLOWED-FROMを設定しようとしていますが、これまで試したすべての設定の結果、次のChromeエラー:Invalid 'X-Frame-Options' header encountered when loading 'https://domain.com/#/register': 'ALLOW-FROM domain.com' is not a recognized directive. The header will be ignored.

私が試したこのオプションは次のとおりです:(https://プレフィックス)

  add_header X-Frame-Options "Allow-From domain.com"; 
  add_header X-Frame-Options "ALLOW-FROM domain.com"; 
  add_header X-Frame-Options "ALLOW-FROM: domain.com";
  add_header X-Frame-Options "Allow-From: domain.com";
  add_header X-Frame-Options ALLOW-FROM "domain.com";
  add_header X-Frame-Options ALLOW-FROM domain.com;
22
Vadimo

in Chromeおよび使用する必要のあるSafariContent-Security-Policy

Content-Security-Policy: frame-ancestors domain.com

このサイトで詳細を確認できます。

https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives

24
Ezequiel Bertti

一部の古いブラウザはコンテンツセキュリティポリシーをサポートしていないため、正しい構文は

add_header X-Frame-Options ALLOW-FROM domain.com;

ブラウザの新しいバージョンはコンテンツセキュリティポリシーをサポートしています

add_header Content-Security-Policy "frame-ancestors domain.com";

すべてのブラウザでサポートされるように、両方のヘッダーを使用する必要があります

X-Frame-OptionsおよびContent Security Policyのブラウザーサポートの詳細を知るには(2017年12月19日に書かれたように、CSPブラウザーサポートデータは古くなっています。現在、すべての主要なブラウザーサポートCSP): https://www.owasp .org/index.php/Clickjacking_Defense_Cheat_Sheet

6
Aekansh Kansal