Ruby on Rails 4アプリケーションで作業している場合、foo.bar.com
サーバーでホストされているiframeにプルされるページを作成する必要があります。だから私はこのコントローラーメソッドを持っています:
def iframed_page
response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://foo.bar.com"
end
..そして、クライアントは私にhttp://foo.dev.bar.com
もホワイトリストに載せてほしいと望んでいることがわかりました。
X-FRAME-OPTIONSを設定する場合、「ALLOW-FROM」オプションは複数のサブドメインを許可しないことを知っています。しかし、これは異なるサブドメインを持つ同じルートドメインであるため、もう少し柔軟性がありますか?たとえば、次のようなことができますか
response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://*.bar.com"
同じように?
代わりにContent-Security-Policy
ヘッダーを使用できますが、それは すべてに対して機能しない です。
response.headers["X-Content-Security-Policy"] = "frame-ancestors http://*.bar.com";
response.headers["Content-Security-Policy"] = "frame-ancestors http://*.bar.com";
Content-Security-Policy
は、最新のブラウザではX-Frame-Options
をオーバーライドしますX-Content-Security-Policy
はIE11のX-Frame-Options
をオーバーライドします