Как разрешить использовать iframe только для определенных доменов?

Question

[Станислав]

Всем привет.
Суть проблемы.
Где то месяц назад начал замечать что некоторые сайты размещают мой сайт в iframe, соответственно нужно было это присечь, так как начали появляться тонны внешних ссылок с гомносайтов.
Прописал заголовок на запрет использования iframe на сторонних сайтах

add_header X-Frame-Options DENY;

И тут же столнулся с проблемой. В ВК есть iframe приложение, и нужно чтобы оно работало.
Как быть? Есть ли возможно списком указать разрешенные доменны?

Answer 1

[Сергей Соколов]

Попробуйте ALLOW-FROM:

add_header X-Frame-Options "ALLOW-FROM https://vk.com/";

Answer 2

[SagePtr]

Можно проверять заголовок Referer и при несовпадении возвращать заголовок.
Ещё вариант - проверять параметры GET-параметры запроса, которые vk добавляет в адрес фрейма приложения, и выдавать заголовок при их отсутствии/некорректности.

Comments

[Станислав]

Как я понял это нужно делать так?

map $http_referer $frame_options {
        default    "DENY";
        "~vk.com"   "ALLOW";
}

add_header X-Frame-Options $frame_options;