NGINX X-Frame-Options permite apenas a partir de uma única página

1

Estou tentando configurar o meu vHost para permitir iframes de apenas um subdomínio de nossa rede. Antes de termos:

add_header X-Frame-Options "SAMEORIGIN"; em todas as nossas páginas.

Para realizar o que quero, tentei:

add_header X-Frame-Options https://somewebsite.com;

Isso acaba permitindo iframes como desejado, mas permite que eles de todos os domínios não apenas de https://somewebsite.com .

Como posso negar iframes de todas as páginas externas, mas permiti-las de um subdomínio?

Informações secundárias:

ambos os sites são executados na mesma máquina.

    
por Flatron 08.02.2016 / 17:46

1 resposta

2

A RFC para o cabeçalho X-Frame-Options indica que as opções válidas para o cabeçalho são:

  • DENY
  • SAMEORIGIN
  • ALLOW-FROM <uri>

Então, primeiro você precisa adicionar ALLOW-FROM e, em seguida, especificar o URI do seu subdomínio. Algo parecido com isto:

ALLOW-FROM https://subdomain.example.com/
    
por 08.02.2016 / 18:09