से अनुमति देता है मैं abc.com से किसी पृष्ठ की सेवा के लिए रेल एप्लिकेशन का उपयोग कर रहा हूं। इसे में, मैं अपने आवेदन नियंत्रक में प्रतिक्रिया हेडर (before_filter के माध्यम से हर अनुरोध के लिए) सेट इतना है कि यह केवल किसी विशिष्ट साइट के एक iframe के माध्यम से पहुँचा जा सकता है (xyz.com), निम्न कोड के माध्यम से:एक्स-फ़्रेम-विकल्प सभी-एक विशिष्ट साइट से सभी
def set_x_frame_options
response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com"
end
समस्या यह है कि न केवल मैं xyz पर abc.com से किसी भी अन्य वेबसाइट पर पृष्ठ तक पहुंचने में सक्षम हूं। मैं केवल xyz.com तक पहुंच को सीमित करना चाहता हूं। जब मैं क्रोम कंसोल में प्रतिक्रिया शीर्षकों की जांच करता हूं तो मैं देख सकता हूं कि एक्स-फ़्रेम-विकल्प सही तरीके से पारित किए जा रहे हैं। यह सभी ब्राउज़रों में हो रहा है। क्या मैं कुछ भूल रहा हूँ?
शायद संबंधित: https://groups.google.com/a/chromium.org/forum/?fromgroups#!topic/chromium-bugs/ PkrSeB74a38 .. एफएफ/आईई 9, आदि के बारे में क्या? यही है, क्या यह केवल [क्रोम का संस्करण] प्रभावित है? –
यह भी देखें http://stackoverflow.com/questions/10658435/x-frame-options-allow-from-in-firefox-and-chrome "समस्या यह है: * ऐसा लगता है कि डोमेन परिणामों को आवंटित करने से कोई नहीं - नवीनतम फ़ायरफ़ॉक्स और Google क्रोम * के लिए कुल मिलाकर [जो भी संस्करण वे थे]। IE8, कम से कम, ठीक से लागू करने के लिए प्रतीत होता है। " .. "फिर भी, फ्रेम अभी भी सामग्री प्रदर्शित करता है।" –
मैंने यहां पोस्ट करने से पहले उन दो लिंक को चेक किया था। पहले लिंक के बारे में, मैंने सोचा था कि यह था, लेकिन मैंने फ़ायरफ़ॉक्स और सफारी पर जांच की और दोनों ही सभी से अनुमति दे रहे हैं, इसलिए यह सुनिश्चित नहीं है कि यह क्रोम विशिष्ट है या नहीं। –