Estoy tratando de encontrar la razón por la cual una determinada página web no se está obteniendo, aunque el encabezado de X-Frame-Options esté ausente.
Observación:
Cuando escribo un HTML con etiqueta iframe que apunta a la URL y guardo este archivo localmente y lo abro, puedo encontrar la página que se está cargando en un inframe. Pero cuando intento la misma URL aquí , no se está cargando en iframe.
Entonces, ¿qué otra cosa puede evitar que una página obtenga iframed excepto que se establezca el valor del encabezado X-Frame-Option como DENY / Same-Origin?
Este es un enlace específico de la compañía, por lo que me abstengo de pegar la URL, pero estoy escribiendo todos los encabezados de respuesta que se están configurando:
HTTP / 1.1 200 OK
Cache-Control: privado
Tipo de contenido: texto / html; conjunto de caracteres = utf-8
Set-Cookie: ASP.NET_SessionId = valor
X-OFIS: algo de valor
Strict-Transport-Security: max-age = 31536000
Compatible con X-UA: IE = edge
Opciones de tipo de contenido X: nosniff
Protección X-XSS: 1; modo = bloque
Política de seguridad del contenido: default-src 'self' * .xyz.com
X-Content-Security-Policy: default-src 'self' * .xyz.com
Acceso-Control-Permitir-Origen: *
Fecha: sábado, 13 de mayo de 2017 17:38:04 GMT
Conexión: cerrar
Contenido-Longitud: 33335