Comment "autoriser" de plus d'un domaine pour "X-Frame-Options" dans le contrôleur Rails 4?
En Ruby on Rails 4 application que je travaille, j'ai besoin de faire une page qui sera tiré dans un iframe hébergés sur le foo.bar.com
serveur, j'ai donc cette méthode de contrôleur:
def iframed_page
response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://foo.bar.com"
end
..et maintenant il s'avère que le client veut me faire aussi la liste blanche http://foo.dev.bar.com
.
Je sais que pour la configuration de X-FRAME-OPTIONS, la "PERMETTENT DE" option ne permet pas de bénéficier de plusieurs sous-domaines. Mais puisque c'est la même racine de domaine avec différents sous-domaines, ne serait-il être un peu plus flexible? Par exemple, je pourrais faire quelque chose comme
response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://*.bar.com"
?
source d'informationauteur drumwolf
Vous devez vous connecter pour publier un commentaire.
Vous pouvez utiliser le
Content-Security-Policy
en-tête de la place, mais il ne fonctionne pas sur tout.Content-Security-Policy
remplaceX-Frame-Options
sur les navigateurs modernesX-Content-Security-Policy
remplaceX-Frame-Options
sur IE11