Измените параметры X-Frame, чтобы разрешить все домены

Я пытаюсь использовать какой-то сайт в качестве iframe из другого моего сайта.

Моя проблема - другой сайт всегда последовательно меняет свой IP-адрес и не имеет имени домена.

Итак, я прочитал, что вы можете allo определенного домена, добавив этот lint в /etc/nginx/nginx.conf:

 add_header X-Frame-Options "ALLOW-FROM https://subdomain.example.com/";

Мой вопрос: Можно ли импортировать мой сайт в качестве iframe из всех IP-адресов и доменов? Что я должен написать для этого?

Я использую Ubuntu 16.04 и nginx 1.10.0.

Ответ 1

Если вы установите его, то вы можете установить его только на DENY, SAMEORIGIN или ALLOW-FROM (определенный источник).

Разрешить все домены по умолчанию. Не устанавливайте заголовок X-Frame-Options вообще, если вы этого хотите.

Обратите внимание, что наследник X-Frame-Options - директива CSP frame-ancestors - принимает список разрешенных источников, поэтому вы можете легко разрешить некоторые источники вместо ни одного, одного или всех.

Ответ 2

ALLOWALL является значением по умолчанию.

Иногда фреймворки MVC, такие как Rails, Laravel, Django и т.д., Устанавливают для X_FRAME_OPTIONS значение SAMEORIGIN, поэтому кому-то может потребоваться сбросить его до ALLOWALL значения ALLOWALL.

Ответ 3

Ну, вы можете проверить IP-адрес удаленного хоста с сервера. Затем вы можете отправить HTTP-заголовок ответа X-Frame-Options со значением: "Allow-From ip-address", где ip address - это удаленный IP-адрес, который пытается внедрить содержимое на ваш сервер. Это позволит встраивать ваш веб-сайт во все веб-сайты, доступ к которым осуществляется по IP-адресу из браузера.

Другой вариант - встроить содержимое в iframe и включить имя домена в URL-адрес источника iframe. Параметр имени домена может быть прочитан сервером и включен в заголовок ответа X-Frame-Options.