Я использую приложение rails для обслуживания страницы с сайта abc.com. В нем я устанавливал заголовки ответов в своем контроллере приложений (для каждого запроса через before_filter), чтобы к нему можно было получить доступ через iframe только с определенного сайта (xyz.com), используя следующий код:
def set_x_frame_options
response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com"
end
Проблема заключается не только в том, что я могу получить доступ к странице с сайта abc.com на xyz, но и на любом другом сайте. Я хочу ограничить доступ только к xyz.com. Когда я просматриваю заголовки ответов в консоли хром, я вижу, что X-Frame-Options передается правильно. Это происходит во всех браузерах. Я что-то пропустил?
