Estou tentando configurar o meu vHost para permitir iframes de apenas um subdomínio de nossa rede. Antes de termos:
add_header X-Frame-Options "SAMEORIGIN"; em todas as nossas páginas.
Para realizar o que quero, tentei:
add_header X-Frame-Options https://somewebsite.com;
Isso acaba permitindo iframes como desejado, mas permite que eles de todos os domínios não apenas de https://somewebsite.com .
Como posso negar iframes de todas as páginas externas, mas permiti-las de um subdomínio?
Informações secundárias:
ambos os sites são executados na mesma máquina.
A RFC para o cabeçalho X-Frame-Options indica que as opções válidas para o cabeçalho são:
DENY SAMEORIGIN ALLOW-FROM <uri> Então, primeiro você precisa adicionar ALLOW-FROM e, em seguida, especificar o URI do seu subdomínio. Algo parecido com isto:
ALLOW-FROM https://subdomain.example.com/