Как я могу добавить X-Frame-Options выборочно, используя Apache?
Я планирую установить X-Frame-Options SAMEORIGIN в моем сервере httpd.conf как часть улучшения защиты от щелкания мышью. Я понимаю, это добавит X-Frame-Options заголовок ко всем страницам. Есть страница "виджетов", от которой я бы хотел избавиться (другие сайты будут отображать эту страницу внутри IFRAME).
Есть ли способ настроить Apache 2, чтобы он не отправлял заголовок только для конкретной страницы?
2 ответа
Решение
Да использовать SetEnvIf:
SetEnvIf Request_URI "^/my_awesome_widget_page.html$" iframes_are_cool
Header set X-Frame-Options SAMEORIGIN env=!iframes_are_cool
Вы можете удалить заголовок X-Frame-Options в файле.htaccess (при условии, что ваш виджет находится в своем собственном подкаталоге):
Header always unset X-Frame-Options