X-Frame-Options
DENY:禁止iframe
SAMEORIGIN:只允许相同域名下的网页iframe,同源政策保护
ALLOW-FROM: https://example.com:白名单限制
但这个缺陷就是chrome、Safari是不支持ALLOW-FROM
语法!
php代码如下:
header("X-Frame-Options: allow-from http://lemon.tv");
frame-ancestors、frame-src
https://cloud.tencent.com/developer/section/1189865
frame-ancestors影响以下标签: <frame>,<iframe>,<object>,<embed>,或<applet>
需要注意的是: 此指令在<meta>
元素或Content-Security-policy-Report-Only标题字段中不受支持
语法:
Content-Security-Policy: frame-ancestors <source>;
Content-Security-Policy: frame-ancestors <source> <source>;
其中<source>
1、设置为none,单引号是必须的,则类似deny
Content-Security-Policy: frame-ancestors 'none';
2、*.lemon.v,通配匹配
Content-Security-Policy: frame-ancestors 'none';
frame-src影响以下标签: <frame>,<iframe>
,语法与frame-ancestors
类似
php代码:
header("Content-Security-Policy: frame-ancestors lemon.v; frame-src lemon.tv;");
当frame-src
、frame-ancestors
都存在的时候,会忽略frame-src
当时这个的缺陷就是IE不支持CSP!
结合使用
在chrome、firefox下,会因为frame-ancestors
指令,忽略X-Frame-Options
的设置
IE本身不支持CSP,所以只受X-Frame-Options
影响
所以可以综合使用
header('X-Frame-Options: allow-from http://lemon.v');
header("Content-Security-Policy: frame-ancestors lemon.v; frame-src lemon.v;");
这样解决了一种情况:
业务还存在跨域的lemon.v去iframe,在测试的浏览器中能够达到想要的效果(有些版本未测试,可能有偏差).
另外探索了一下综合使用会出现的问题:
header('X-Frame-Options: deny');
header("Content-Security-Policy: frame-ancestors lemon.v; frame-src lemon.v;");
Safari支持CSP,但X-Frame-Options
设置为deny
,会受到它的影响,从而覆盖了frame-ancestors
的设置