У меня есть сайт ASP.NET 4.0 IIS7.5, который необходимо защитить с помощью заголовка X-Frame-Options.
Мне также нужно разрешить вставку страниц моего сайта с того же домена, а также из приложения Facebook.
В настоящее время у меня настроен сайт с заголовком:
Response.Headers.Add("X-Frame-Options", "ALLOW-FROM SAMEDOMAIN, www.facebook.com/MyFBSite")
Когда я просматривал свою страницу в Facebook с помощью Chrome или Firefox, мои страницы сайтов (будучи вставленными в мою страницу Facebook) отображаются нормально, но в IE9 я получаю сообщение об ошибке:
"this page cannot be displayed…" (because of the
X-Frame_Options
restriction).
Как настроить X-Frame-Options: ALLOW-FROM
на поддержку нескольких доменов?
X-FRAME-OPTION
, будучи новой функцией, кажется фундаментально ошибочным, если можно определить только один домен.