Apache config: allow iFrames only for a specific directory
I would like to configure Apache so that
- it normally denies requests for iFrames (for instance, by setting
Header always append X-Frame-Options DENY) - but, it allows a specific directory to be embedded as iFrame, independently from the origin of the request (for instance,
)
Is that possible?
См. Документацию для X-Frame-Options . Вы можете
разрешить встраивание из
https://example.com/mydir:В заголовок всегда добавляется X-Frame-Options ALLOW-FROM = https: // example.com / mydirразрешить встраивание из
https://example.com/mydir
, добавив его только тогда, когдаМестоположениене соответствует/ mydir, с директиваLocationMatch.ServerName example.com Заголовок всегда добавляется X-Frame-Options DENY для максимальной безопасности добавьте их комбинацию, т.е. разрешите встраивание только
/ mydirиз....
Вы не можете ограничить это < iframe> , но встраивание также может быть выполнено как или .
в моем случае это работает, только если мне нравится это
<LocationMatch "^/mydir(.*)">
Header always append X-Frame-Options DENY
</LocationMatch>
, чтобы разрешить папку / mydir ...
РЕДАКТИРОВАТЬ: забудьте о том, что я сказал, этот параметр ничего не блокирует
Я бы обновил файлы modsecurity:
Файл: etc/apache2/mods-available/mod-security.conf
SecRule REQUEST_URI|REMOTE_HOST "@contains /directorytotarget" "phase:2,nolog,setenv:sameoriginonly,t:none,t:urlDecode,t:normalizePath,t:lowercase,pass,msg:'setting X-Frame-Options'"
Header set X-Frame-Options "SAMEORIGIN" env=sameoriginonly