X- फ़्रेम विकल्प कैसे सेट करें की अनुमति-से करने के लिए https://example.com और SAMEORIGIN सर्वर

Question

मैं करने के लिए सर्वर स्तर पर X- फ़्रेम विकल्प सेट करने के लिए एक आवश्यकता है पर या तो:

• X- फ़्रेम-विकल्प: SAMEORIGIN
• X- फ़्रेम-विकल्प: की अनुमति-से https://example.com/

समझ लें कि एक्स-फ्रेम विकल्प हैं परस्पर अनन्य। here देखें।

हालांकि, अपने आवेदन अपने SAMEORIGIN से https://example.com और भी तैयार की आवश्यकता है।

कृपया सलाह अगर वहाँ एक ही मूल पर तैयार करने की अनुमति है और 1 बाहरी साइट पर फंसाया जा करने के लिए अपने आवेदन की आवश्यकता retainining इस जबकि चारों ओर एक रास्ता है।

या यह असंभव है?

Answer 1

हेडर के एक उदाहरण का समर्थन करने के अलावा, X-Frame-Options केवल एक साइट, SAMEORIGIN या उससे अधिक का समर्थन नहीं करता है।

आप Content-Security-Policy और frame-ancestors उपयोग करने के लिए, जो कई मूल, इसलिए तरह का समर्थन नहीं करता होगा:

Content-Security-Policy: frame-ancestors 'self' https://example.com 

एक जोड़े को ध्यान में रखना नोट:

• frame-ancestors obsoletes X-Frame-Options - जिसका अर्थ है कि यदि frame-ancestors मौजूद है और ब्राउज़र इसका समर्थन करता है, यह X-Frame-Options के व्यवहार को ओवरराइड करेगा।
• इंटरनेट एक्सप्लोरर और एज वर्तमान में frame-ancestors निर्देश, according to MDN का समर्थन नहीं करते हैं। इसका मतलब है कि वे X-Frame-Options पर वापस आ जाएंगे। यदि आपको आईई या एज, see this answer on SO with a workaround में एकाधिक उत्पत्ति का समर्थन करने की आवश्यकता है।

Answer 2

मुझे एक समान आवश्यकता थी और मैंने global.asax में संभाला। मैंने अनुरोध किया है कि अनुरोध कहां आ रहा है और उस पर आधारित है कि मैंने हेडर वैल्यू को या तो वोरोरिजिन या अनुमति से बदल दिया है। उम्मीद है की वो मदद करदे।