add_header X-Frame-Options DENY;
похоже, у нас не работает.
мы намерены отображать одну из наших размещенных страниц в качестве iframe для проблем, связанных с PCI, и нам это удалось, но чтобы избежать перехвата кликов, нам рекомендовали использовать x-frame-options DENY
, но мы не можем этого сделать, поскольку мы хотим, чтобы наши пользователи использовали фрейм, который мы разработали, поэтому решением может быть использование x-frame-options ALLOW FROM uri
.
мы пытаемся add_header X-Frame-Options DENY;
увидеть, ограничивает ли наше приложение iframe в первую очередь, но iframe все еще виден. мы несколько раз проверяли, может ли заголовок добавления быть в неправильном месте в конфигурации nginx, но это не так.
P.S. изображение ниже предназначено для справки, но мы все еще можем видеть, что приложение angular успешно отрисовывает кадр :(
content-type
—text/plain
?! - person cnst   schedule 28.01.2019iframe
из другого домена? - person Guerric P   schedule 28.01.2019x-frame-options
установлен в ответ на запросindex.html
, а не какой-либо актив или вызов API - person Guerric P   schedule 28.01.2019