Как поменять права на X-Frame-Options?

Question

[smilelan]

При вставке iframe в посу на сайте в консоле появляется ошибка in a frame because it set 'X-Frame-Options' to 'deny'.(iframe соответсвенно не работает) в htaccess поставил значение SAMEORIGIN , ошибка осталась неизменной, в конфигах worpdess так же выставил это значение, может должен быть какое-то другое значение? Прошу помощи у вас. Спасибо.

Answer 1

[smilelan]

up

Answer 2

[granty]

Оставлю ответ для потомков, поскольку топикстартер его не дождался.
1. SAMEORIGIN означает те же схема/хост/номер_порта. То есть на странице http://site.ru с заголовком X-Frame-Options SAMEORIGIN ифрейм по https:// загружать не разрешено. с http://www.site.ru - тоже не разрешено.

2. В rfc7034 на заголовок X-Frame-Options была допущена неоднозначность, поэтому в случае множественной вложенности ифреймов, некоторые браузеры проверяют на SAMEORIGIN только top-level документ, другие - всю цепочку вложенности ифреймов.

Поэтому "собака могла порыться" как в п1, так и в п2.

Если HTTP-заголовок издан в файле .htaccess, издавать его в конфигах worpdess смысла нет, поскольку .htaccess имеет приоритет и перезапишет заголовок из PHP header().

100% вариант разрешить ифреймы с SAMEORIGIN - указать разрешённые для ифрейминга домены в директиве frame-ancestors, которая отменяет X-Frame-Options.