大前端与勇士

打工人带你一起刷大前端副本 111

iframe嵌套登录页-页面无法加载

背景

活动页面和登录页跨域,过去都是跳转到登录页登录之后再跳转回来,体验不好。
现在需要将登录模块嵌入到活动页,因为,不想开发重复的模块,首先我想到的是iframe

刚开始还能正常使用,一段时间后安全部让他们添加了X-Frame-Options响应头,X-Frame-Options文档地址
页面就没法正常使用了

文档中说可以通过allow-from uri参数允许在frame 中展示,于是让加了所谓的白名单

读完文档的同学可以发现,大概只有ie这类被淘汰的老古董才支持这个参数吧

这个参数并不好使,在ie浏览器依然是

PS:

对于兼容性所说的ALLOW-FROM

我尝试了一下,在ie8并不管用,比如设置了ALLOW-FROM a.com,通过a.com下的页面使用iframe嵌入该页面,确实可以打开,但是并不能限制(也就是说b.com也可以引入)
不过DENYSAMEORIGIN还是管用的

已经成为历史的问题就不纠结了,推荐使用其他方法限制,eg:Content-Security-Policy响应头

posted on 2020-11-24 14:20  秦伟杰  阅读(3811)  评论(0编辑  收藏  举报

导航