it-swarm.com.de

Ändern Sie die X-Frame-Optionen, um alle Domänen zuzulassen

Ich versuche, eine meiner Websites als iframe von einer anderen Website zu verwenden.

Mein Problem ist - die andere Seite ändert immer konsequent ihre IP-Adresse und hat keinen Domainnamen.

Daher habe ich gelesen, dass Sie eine bestimmte Domain zuweisen können, indem Sie diese Fussel zu /etc/nginx/nginx.conf Hinzufügen:

 add_header X-Frame-Options "ALLOW-FROM https://subdomain.example.com/";

Meine Frage ist: Kann ich zulassen, dass meine Website als Iframe von allen IP-Adressen und Domänen importiert wird? Was soll ich schreiben, um dies zu erreichen?

Ich benutze Ubuntu 16.04 und Nginx 1.10.0.

17
Yuval Pruss

Wenn Sie es festlegen, können Sie es nur auf DENY, SAMEORIGIN oder ALLOW-FROM (einen bestimmten Ursprung) festlegen.

Das Zulassen aller Domänen ist die Standardeinstellung. Setze nicht das X-Frame-Options Header überhaupt, wenn Sie das wollen.

Beachten Sie, dass der Nachfolger von X-Frame-Options - CSP's frame-ancestorsdirektive - akzeptiert eine Liste von erlaubten Ursprüngen, so dass Sie leicht einige Ursprünge anstelle von keinem, einem oder allen zulassen können.

22
Quentin

ALLOWALL ist der Standardwert.

In einigen Fällen setzen MVC-Frameworks wie Rails, Laravel, Django und so weiter) ein X_FRAME_OPTIONS auf SAMEORIGIN, sodass jemand es möglicherweise auf den Wert von Origin ALLOWALL zurücksetzen muss.

10
Francesco Meli