因為oauth/authorize響應頭包含X-Frame-Options: DENY
解決方案:
openresty nginx 移除該屬性,經測試生效
more_clear_headers X-Frame-Options;
====打印日志,發現沒有了該屬性;
set $resp_header "";
header_filter_by_lua '
local h = ngx.resp.get_headers()
for k, v in pairs(h) do
ngx.var.resp_header=ngx.var.resp_header..k..": "..v
end
';
log_format main '"$resp_header"';
引用:
現代瀏覽器在HTTP的header中加入了X-Frame-Options選項,瀏覽器可以根據這個選項來決定某個資源是否允許通過frame或iframe嵌套到別的網站中。
如果響應頭中將其值設置為了SAMEORIGIN,則告訴瀏覽器該資源僅允許被嵌套在同源網站,如果值為DENY,則在任何位置的嵌套都是不允許的。