Modifier les options de X-Frame pour autoriser tous les domaines
J'essaie d'utiliser un de mes sites en tant que iframe d'un autre site.
Mon problème est que l'autre site change constamment son adresse IP et n'a pas de nom de domaine.
Donc, j'ai lu que vous pouvez allo un domaine spécifique en ajoutant cette peluche au /etc/nginx/nginx.conf:
add_header X-Frame-Options "ALLOW-FROM https://subdomain.example.com/";
Ma question est la suivante: est-il possible d'autoriser l'importation de mon site en tant qu'iframe à partir de toutes les adresses IP et de tous les domaines? Que devrais-je écrire pour y parvenir?
J'utilise Ubuntu 16.04 et nginx 1.10.0.
Si vous le définissez, vous ne pouvez le définir que sur DENY, SAMEORIGIN ou ALLOW-FROM (une origine spécifique).
Autoriser tous les domaines est la valeur par défaut. Ne réglez pas le X-Frame-Options en-tête du tout si vous le souhaitez.
Notez que le successeur de X-Frame-Options - CSP's frame-ancestors directive - accepte une liste d'origines autorisées afin que vous puissiez facilement autoriser certains origines au lieu de aucune, une ou toutes.
ALLOWALL est la valeur par défaut.
Parfois, les frameworks MVC tels que Rails, Laravel, Django et ainsi de suite, définissez X_FRAME_OPTIONS sur SAMEORIGIN afin que quelqu'un puisse avoir besoin de le réinitialiser à la valeur Origin ALLOWALL.