x-frame-options header no impide mostrar el sitio en iframe

Navega tus respuestas
0

Para mi sitio, veo que entre los encabezados de respuesta hay X-Frame-Options: SAMEORIGIN . Todavía puedo obtener una vista previa de mi sitio en iframe de algún sitio diferente, por ejemplo, aquí . Pero esperaba no hacerlo. ¿Supongo que este es un trabajo de back-end para agregar una configuración más que impida que el sitio se muestre en iframe? Pensé que si devuelve el encabezado anterior, la funcionalidad de seguridad que impide mostrar el sitio en iframe ya está implementada. ¿No es así?

ACTUALIZACIÓN: es mi culpa, no especifiqué que este encabezado se devuelva para cada xhr, pero no existe tal encabezado para recursos estáticos (html, js, css, imágenes). ¿Podría ser esa una razón?

ACTUALIZACIÓN2: Le pedí a los chicos de BE que también proporcionen el encabezado para los recursos estáticos. Después de la implementación, compartiré si ayuda o no.

    
pregunta Olena Horal 27.12.2016 - 18:33
fuente

1 respuesta

1

Pedí que se publicara la URL para que más ojos puedan examinar el encabezado.

Si eso no se puede hacer, compruebe lo siguiente mirando el encabezado como lo ve su navegador en las herramientas para desarrolladores.

Si este encabezado se configura más de una vez, puede hacer que la directiva falle porque el navegador condensará varias instancias del mismo encabezado en una sola para que se convierta en: 

X-Frame-Options: SAMEORIGIN,SAMEORIGIN

y este valor no es uno de los tres permitidos, por lo que se ignorará el encabezado.

Por ejemplo, si su servidor web lo configura y luego el código en la aplicación lo establece nuevamente, sucederá.

fuente: enlace

    
respondido por el mcgyver5 28.12.2016 - 14:37
fuente

Lea otras preguntas en las etiquetas

Dispositivo de la empresa con wifi en casa Cálculo predictivo del SHA512 de varios archivos, incluido el que están almacenados