Comment "autoriser" de plus d'un domaine pour "X-Frame-Options" dans le contrôleur Rails 4?

En Ruby on Rails 4 application que je travaille, j'ai besoin de faire une page qui sera tiré dans un iframe hébergés sur le foo.bar.com serveur, j'ai donc cette méthode de contrôleur:

def iframed_page
  response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://foo.bar.com"
end

..et maintenant il s'avère que le client veut me faire aussi la liste blanche http://foo.dev.bar.com.

Je sais que pour la configuration de X-FRAME-OPTIONS, la "PERMETTENT DE" option ne permet pas de bénéficier de plusieurs sous-domaines. Mais puisque c'est la même racine de domaine avec différents sous-domaines, ne serait-il être un peu plus flexible? Par exemple, je pourrais faire quelque chose comme

response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://*.bar.com"

?

source d'informationauteur drumwolf

  1. 11

    Vous pouvez utiliser le Content-Security-Policy en-tête de la place, mais il ne fonctionne pas sur tout.

    response.headers["X-Content-Security-Policy"] = "frame-ancestors http://*.bar.com";
response.headers["Content-Security-Policy"] = "frame-ancestors http://*.bar.com";
    • Content-Security-Policy remplace X-Frame-Options sur les navigateurs modernes
    • X-Content-Security-Policy remplace X-Frame-Options sur IE11