12
używam aplikacji szyny do obsługi strony z abc.com. W nim, ustawić nagłówki odpowiedzi w moim kontroler aplikacji (na każde żądanie przez before_filter) tak, że może on być dostępny poprzez iframe tylko z konkretnym miejscu (xyz.com), poprzez następujący kod:Opcje X-Frame POZWALAJ OD konkretnej strony umożliwia ze wszystkich
def set_x_frame_options
response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com"
end
Problem polega na tym, że nie tylko mogę uzyskać dostęp do strony z abc.com na xyz, ale także na każdej innej stronie. Chcę ograniczyć dostęp tylko do xyz.com. Kiedy sprawdzam nagłówki odpowiedzi w chromowanej konsoli, widzę, że opcje X-Frame-Options są poprawnie przekazywane. Dzieje się tak we wszystkich przeglądarkach. Czy czegoś brakuje?
Może powiązany: https://groups.google.com/a/chromium.org/forum/?fromgroups#!topic/chromium-bugs/ PkrSeB74a38 .. co z FF/IE9 itp.? To znaczy, czy dotyczy to tylko [tej wersji] Chrome? –
Zobacz także http://stackoverflow.com/questions/10658435/x-frame-options-allow-from-in-firefox-and-chrome "Problem polega na tym, że: * wygląda na to, że wysyłanie wyników ALLOW-FROM w -op ogólnie dla najnowszych przeglądarek Firefox i Google Chrome * [niezależnie od tego, w jakim były czasie] IE8 przynajmniej poprawnie implementuje program ALLOW-FROM. " .. "Jednak ramka nadal wyświetla zawartość." –
Sprawdziłem te dwa linki przed opublikowaniem tutaj. Jeśli chodzi o pierwszy link, pomyślałem, że to jest to, ale sprawdziłem w Firefoksie i Safari i oba wydają się dopuszczać od wszystkich, więc nie jestem pewien, czy to jest specyficzne dla Chrome. –