前几天我注意到Stack Overflow会阻止来自IFRAME的HTTP请求
<IFRAME src="https://stackoverflow.com"> </IFRAME>
我的问题是:在HTTP请求头中,它从哪里获得请求来自IFRAME的信息?我实际上感兴趣的是做相反的事情:只能从IFRAME访问,而不能直接访问。FYI:我有创建CORS/.htaccess策略的经验(使用Apache),我相信答案很容易与此相关。同样,我需要做什么来阻止直接请求,但接受来自IFRAME的请求?
lpwwtiir1#
@f_puras的评论让我找到了内容安全策略frame-ancestors指令,控制帧内容的较新方法(https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors)
frame-ancestors
1条答案
按热度按时间lpwwtiir1#
@f_puras的评论让我找到了
内容安全策略
frame-ancestors指令,控制帧内容的较新方法(https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors)