Comment définir correctement les autorisations X-Frame-Options dans nginx
J'essaie de définir le paramètre ALLOWED-FROM dans Nginx, mais tous les paramètres que j'ai essayés jusqu'à présent ont entraîné l'erreur de chrome suivante: Invalid 'X-Frame-Options' header encountered when loading 'https://domain.com/#/register': 'ALLOW-FROM domain.com' is not a recognized directive. The header will be ignored.
Les options que j'ai essayées sont celles-ci: (essayé aussi avec un nom de domaine complet avec le préfixe https://)
add_header X-Frame-Options "Allow-From domain.com";
add_header X-Frame-Options "ALLOW-FROM domain.com";
add_header X-Frame-Options "ALLOW-FROM: domain.com";
add_header X-Frame-Options "Allow-From: domain.com";
add_header X-Frame-Options ALLOW-FROM "domain.com";
add_header X-Frame-Options ALLOW-FROM domain.com;
dans Chrome et Safari, vous devez utiliser Content-Security-Policy
Content-Security-Policy: frame-ancestors domain.com
Vous pouvez vérifier plus de détails sur ce site:
https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives
Certains navigateurs plus anciens ne prennent pas en charge la stratégie de sécurité du contenu. La syntaxe correcte est la suivante:
add_header X-Frame-Options ALLOW-FROM domain.com;
et la nouvelle version des navigateurs prennent en charge la politique de sécurité du contenu
add_header Content-Security-Policy frame-ancestors domain.com;
Vous devez utiliser les deux en-têtes de manière à assurer la prise en charge de tous les navigateurs.
Pour en savoir plus sur la prise en charge de navigateur par X-Frame-Options et la politique de sécurité du contenu (les données de prise en charge de navigateur CSP sont obsolètes, comme l'écrit le 19/12/2017. À l'heure actuelle, tous les principaux CSP de support de navigateurs sont pris en charge: https: // www. owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet