背景
活动页面和登录页跨域,过去都是跳转到登录页登录之后再跳转回来,体验不好。
现在需要将登录模块嵌入到活动页,因为懒,不想开发重复的模块,首先我想到的是iframe
刚开始还能正常使用,一段时间后安全部让他们添加了X-Frame-Options响应头,X-Frame-Options文档地址
页面就没法正常使用了
文档中说可以通过allow-from uri参数允许在frame 中展示,于是让加了所谓的白名单。
读完文档的同学可以发现,大概只有ie这类被淘汰的老古董才支持这个参数吧
这个参数并不好使,在ie浏览器依然是
PS:
对于兼容性所说的
ALLOW-FROM
我尝试了一下,在ie8并不管用,比如设置了ALLOW-FROM a.com,通过a.com下的页面使用iframe嵌入该页面,确实可以打开,但是并不能限制(也就是说b.com也可以引入)
不过DENY、SAMEORIGIN还是管用的
已经成为历史的问题就不纠结了,推荐使用其他方法限制,eg:Content-Security-Policy响应头