Опции X-Frame ALLOW-FROM не работают, если не использовать www
Я бы расширил FilterReader и проанализировал строку, поскольку она читается в методе read (). Попросите метод getNextNumber вернуть числа. Код оставлен как упражнение для читателя.
1 ответ
См. в спецификации :
Подстановочные знаки или списки для объявления нескольких доменов в одном операторе ALLOW-FROM не допускаются
и [ 116] Шаблон проектирования использования и пример сценария для параметра ALLOW-FROM
- Страница, которая хочет визуализировать запрошенный контент во фрейме, предоставляет свою собственную информацию о происхождении серверу, обеспечивая содержимое, которое должно быть оформлено с помощью параметра строки запроса.
, например. используя строку запроса в URL.
Сервер проверяет, соответствует ли имя хоста его критериям, и разрешается ли создание страницы целевым ресурсом. Это может, например, произойти с помощью поиска в белом списке доверенных доменных имен, которым разрешено обрамлять страницу. Например, для кнопки «Мне нравится» на Facebook сервер может проверить, чтобы убедиться, что предоставленное имя хоста соответствует имени (ям) хоста, ожидаемому для этой кнопки «Нравится».
Сервер возвращает имя хоста в «X-Frame-Options: ALLOW-FROM», если на шаге № 2 были соблюдены надлежащие критерии.
Браузер использует заголовок «X-Frame-Options: ALLOW-FROM».
Обратите внимание, что
X-Frame-Optionsзаменено политикой безопасности контента (CSP) , где директива предков фрейма делает ] позволяют вам предоставить список.
Тем не менее, не имеет смысла размещать один и тот же веб-сайт в
www.example.comиexample.com. Выберите один из них, чтобы он был каноническим, и выполните перенаправление301от другого к нему.Тогда вам нужно только разрешить каноническое в
X-Frame-Options.