X -Фрейм -Опции РАЗРЕШИТЬ -С определенного сайта разрешает со всех

Я использую приложение rails для обслуживания страницы с abc.com. В нем я устанавливаю заголовки ответов в своем контроллере приложений (для каждого запроса через фильтр перед _), чтобы к нему можно было получить доступ через iframe только с определенного сайта (xyz.com ), через следующий код:

def set_x_frame_options
  response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com"
end

Проблема в том, что я не только могу получить доступ к странице с abc.com на xyz, но и на любом другом веб-сайте. Я хочу ограничить доступ только к xyz.com. Когда я просматриваю заголовки ответа в консоли Chrome, я вижу, что параметры X -Frame -передаются правильно. Это происходит во всех браузерах. Я что-то упускаю?