Безопасно ли использовать директиву X-Frame-Options Allow-From?
Я пытался найти ответ на этот вопрос, но не смог найти ничего определенного. Для X-Frame-Options, кажется, есть только ограниченная поддержка опции "Разрешить из", которая позволяет вам внести в белый список URL-адрес, который может встроить ваш сайт в iFrame (на основе http://caniuse.com/, где браузеры с желтыми блоками - это те, которые не поддерживают опцию "Allow-From").
Я хочу внести в белый список URL-адрес стороннего сайта, который загружает мой сайт в iFrame специально для Safari на iOS (по какой-то причине это не относится к любому другому браузеру для мобильных устройств или компьютеров). В чем я не уверен, так это в случае использования "Allow-From"; в браузерах, которые его не поддерживают. Безопасно ли его использовать или это может вызвать угрозу безопасности из-за непредсказуемого аварийного поведения?
Благодарен за любые указатели.
1 ответ
Клиенты, которые не поддерживают его, будут игнорировать его, в нем больше ничего нет и нет запасного или промежуточного термина.
Я бы порекомендовал вам использовать CSP (Content Security Policy), которая имеет более широкий спектр клиентских браузеров, которые поддерживают ее и допускают гораздо более специфические настройки.