我正在使用rails应用程序为abc.com的页面提供服务。在该应用程序中,我在应用程序控制器中设置响应标头(通过before_filter为每个请求设置响应标头),以便只能通过iframe从特定站点(xyz.com)通过以下代码访问:
def set_x_frame_options
response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com"
end
问题是,我不仅可以访问xyz上的abc.com页面,还可以访问任何其他网站。我想限制只能访问xyz.com。当我检查chrome控制台中的响应标头时,我可以看到X-Frame-Options被正确传递。这种情况在所有浏览器中都会发生。我是不是错过了什么?
对于那些想要明确答案的人来说:它没有在webkit中实现,但据报道在18.0版本的Firefox中可以工作。以下ruby语法适用于OSX上的Firefox 20.0:
response.headers["X-Frame-Options"] = "Allow-From http://www.website.com"