I would like to configure Apache so that
Header always append X-Frame-Options DENY
)
)Is that possible?
См. Документацию для X-Frame-Options
. Вы можете
разрешить встраивание из https://example.com/mydir
:
В заголовок всегда добавляется X-Frame-Options ALLOW-FROM = https: // example.com / mydir
разрешить встраивание из https://example.com/mydir
, добавив его только тогда, когда Местоположение
не соответствует / mydir
, с директива LocationMatch
.
ServerName example.com
Заголовок всегда добавляется X-Frame-Options DENY
для максимальной безопасности добавьте их комбинацию, т.е. разрешите встраивание только / mydir
из ...
.
Вы не можете ограничить это < iframe>
, но встраивание также может быть выполнено как
или
.
в моем случае это работает, только если мне нравится это
<LocationMatch "^/mydir(.*)">
Header always append X-Frame-Options DENY
</LocationMatch>
, чтобы разрешить папку / mydir
...
РЕДАКТИРОВАТЬ: забудьте о том, что я сказал, этот параметр ничего не блокирует
Я бы обновил файлы modsecurity:
Файл: etc/apache2/mods-available/mod-security.conf
SecRule REQUEST_URI|REMOTE_HOST "@contains /directorytotarget" "phase:2,nolog,setenv:sameoriginonly,t:none,t:urlDecode,t:normalizePath,t:lowercase,pass,msg:'setting X-Frame-Options'"
Header set X-Frame-Options "SAMEORIGIN" env=sameoriginonly