进在开发公司的文件中心组件,提供各个子系统的附件上传下载、预览、版本更新等功能,前端在今天突然给我发一张图,说预览缩略图遇到问题了,然后发了个截图给我:
这很明显是一个跨域问题,
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe>或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
X-Frame-Options 有三个值:
DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示(一般默认是这种)。 ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。
此处很明显需要在中间件里面修改一下响应头的X-Frame-Options属性,core的中间件流程如下:
所以我们需要实现一个响应头的增删集合类:
/// <summary> /// 响应头的增删集合 /// </summary> public class SecurityHeadersPolicy { public IDictionary<string, string&g