X-Frame-Options
Zdravím,
rád bych omezil fungování iframu s obsahem z mého webu na konkrétní doménu.
V htaccess mi funguje jen:
Header set X-Frame-Options SAMEORIGIN // povolí iframe jen na stejné doméně
Už však ne:
Header always append X-Frame-Options ALLOW-FROM https://www.domena.cz/ // povoli iframe i na jiné doméně
Iframe na povolené doméně hlásí odmítnutí jakoby by vůbec nebral v potaz povolení z domény. Funguje tahle directiva vůbec nebo je zakázaná?
3 Answers
Definice hlavičky X-Frame-Options
Zakázání jakéhokoliv vkládání
X-Frame-Options: DENY
Omezení na použití v rámu v rámci domény
X-Frame-Options: SAMEORIGIN
Kompletní zamezení, kromě zvolené domény
X-Frame-Options: ALLOW-FROM https://domenayxz.cz
Místo allow-from je již doporučováno používat nové řešení pomocí hlavičky Content-Security-Policy s direktivitou frame-ancestors. Výhodou je, že umožňuje povolit více domén.
Content-Security-Policy: frame-ancestors https://domenayxz.cz
Potenciální chyby v nastavení
ALLOW FROM http://domenayxz.cz
ALLOW-FROM musí obsahovat pomlčku.
ALLOW-FROM domenayxz.cz ALLOW-FROM musí obsahovat celé URI včetně https://.
Nepoužívejte SAMEORIGIN, pokud máte nějakou stránku v doméně, která akceptuje libovolnou adresu URL s rámy.