web-dev-qa-db-fra.com

Comment définir correctement les autorisations X-Frame-Options dans nginx

J'essaie de définir le paramètre ALLOWED-FROM dans Nginx, mais tous les paramètres que j'ai essayés jusqu'à présent ont entraîné l'erreur de chrome suivante: Invalid 'X-Frame-Options' header encountered when loading 'https://domain.com/#/register': 'ALLOW-FROM domain.com' is not a recognized directive. The header will be ignored.

Les options que j'ai essayées sont celles-ci: (essayé aussi avec un nom de domaine complet avec le préfixe https://)

  add_header X-Frame-Options "Allow-From domain.com"; 
  add_header X-Frame-Options "ALLOW-FROM domain.com"; 
  add_header X-Frame-Options "ALLOW-FROM: domain.com";
  add_header X-Frame-Options "Allow-From: domain.com";
  add_header X-Frame-Options ALLOW-FROM "domain.com";
  add_header X-Frame-Options ALLOW-FROM domain.com;
17
Vadimo

dans Chrome et Safari, vous devez utiliser Content-Security-Policy

Content-Security-Policy: frame-ancestors domain.com

Vous pouvez vérifier plus de détails sur ce site:

https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives

22
Ezequiel Bertti

Certains navigateurs plus anciens ne prennent pas en charge la stratégie de sécurité du contenu. La syntaxe correcte est la suivante:

add_header X-Frame-Options ALLOW-FROM domain.com;

et la nouvelle version des navigateurs prennent en charge la politique de sécurité du contenu

add_header Content-Security-Policy frame-ancestors domain.com;

Vous devez utiliser les deux en-têtes de manière à assurer la prise en charge de tous les navigateurs.

Pour en savoir plus sur la prise en charge de navigateur par X-Frame-Options et la politique de sécurité du contenu (les données de prise en charge de navigateur CSP sont obsolètes, comme l'écrit le 19/12/2017. À l'heure actuelle, tous les principaux CSP de support de navigateurs sont pris en charge: https: // www. owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet

0
Aekansh Kansal