我计划添加X-XSS-Protection: 0标头,以便允许mydomian.com和mystaticdomain.com之间的请求。此标头是否可以与特定域一起使用,如X-Frame-Option/Allow-From?
https://www.keycdn.com/blog/x-xss-protection
否,此标头不允许这样做。
如果您想要一个安全的解决方案,您应该实现CORS,它将允许您指定哪些域可以通过使用标头来访问通常受同源策略保护的内容:
Access-Control-Allow-Origin: mystaticdomain.com