Задать вопрос
Ответы пользователя по тегу Заголовки HTTP
  • Как поменять права на X-Frame-Options?

    @granty
    Оставлю ответ для потомков, поскольку топикстартер его не дождался.
    1. SAMEORIGIN означает те же схема/хост/номер_порта. То есть на странице http://site.ru с заголовком X-Frame-Options SAMEORIGIN ифрейм по https:// загружать не разрешено. с http://www.site.ru - тоже не разрешено.

    2. В rfc7034 на заголовок X-Frame-Options была допущена неоднозначность, поэтому в случае множественной вложенности ифреймов, некоторые браузеры проверяют на SAMEORIGIN только top-level документ, другие - всю цепочку вложенности ифреймов.

    Поэтому "собака могла порыться" как в п1, так и в п2.

    Если HTTP-заголовок издан в файле .htaccess, издавать его в конфигах worpdess смысла нет, поскольку .htaccess имеет приоритет и перезапишет заголовок из PHP header().

    100% вариант разрешить ифреймы с SAMEORIGIN - указать разрешённые для ифрейминга домены в директиве frame-ancestors, которая отменяет X-Frame-Options.
    Ответ написан
    Комментировать