我们已将服务器配置为使用
X-Frame-Options "ALLOW-FROM https://outlook.office.com"
我们的应用被 Office 应用商店拒绝,因为它正在outlook.office365.com
上进行测试。我们看不到允许多个域的方法(即 outlook.office.com
和outlook.office365.com
(
你能在这里帮助我们吗?
PS:我们什么时候会完全迁移到其中之一?
X-Frame-Options
标头只能支持单个域进行ALLOW-FROM
。
至于Outlook Web Addition-ins,将outlook.office.com
假定为主机域是不安全的。源可以是任意数量的已知域(outlook.office.com
、outlook.office365.com
、outlook.live.com
等(,甚至可以是自定义域(例如带有本地Exchange Server的OWA(。
还值得注意的是,X-Frame-Options
在浏览器中并不完全受支持。通常,除非您希望在帧中渲染空白DENY
否则X-Frame-Options
不是很可靠。鉴于Office Web外接程序根据定义在浏览器中的IFRAME
内运行,它可能会导致比它解决的问题多得多的问题。