nginx优化X-Frame-Options 允许嵌套

本文转载自查看原文 2022-04-02 11:54 2104 nginx

公司项目需要嵌套页面，同事查找到X-Frame-Options 这个nginx参数

在响应头里加一个X-Frame-Options

DENY：浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN：frame页面的地址只能为同源域名下的页面
ALLOW-FROM origin：origin为允许frame加载的页面地址

项目需求是允许被嵌套,所以在server段配置

add_header X-Frame-Options ALLOWALL;

效果：

配置好后嵌套了一下发现问题

经排查是X-Frame-Options被设置了多个值，查看Response，发现果然返回了多个值
后同事给出了最终解决办法

   proxy_hide_header X-Frame-Options;
   add_header X-Frame-Options ALLOWALL;

proxy_hide_header X-Frame-Options; 隐藏这个header，重新修改nginx配置

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 nginx 配置 X-Frame-Options X-Frame-Options中nginx的配置 X-Frame-Options X-Frame-Options 配置 X-Frame-Options配置 X-frame-Options 设置 CORS & X-Frame-Options X-Frame-Options 响应头 X-Frame-Options(点击劫持) 'X-Frame-Options' to 'SAMEORIGIN' 待解决