.htaccess 文件中的错误，试图覆盖 HTTP 标头设置答案

【问题标题】：Mistakes in .htaccess file, trying to overwrite HTTP header settings.htaccess 文件中的错误，试图覆盖 HTTP 标头设置
【发布时间】：2021-03-21 18:05:32
【问题描述】：

我可以通过 SFTP 访问具有以下设置的网络空间：

HTTP/1.1 200 OK
server: Apache
accept-ranges: bytes
content-length: 7864
x-frame-options: sameorigin
content-security-policy: script-src 'self' 'unsafe-inline' 'unsafe-eval' *.mydomain.com; font-src 'self' *.mydomain.com
content-type: text/html; charset=utf-8
strict-transport-security: max-age=31536000; includeSubDomains

在这个网络空间上，我上传了一个网页（仅限 HTML 和 CSS，带有 OTF 字体）。现在，我想将此网页作为iframe 嵌入到另一个网站上。

目前，由于 CORS，它不起作用。因为我无权访问服务器设置，所以我想使用 .htaccess 文件进行操作。

我阅读了this 的文章，并考虑创建一个具有如下内容的.htaccess 文件：

X-Frame-Options: allow-from https://the-page-with-my-iframe.com/
Content-Security-Policy: no-restrictions

怎么可能写得正确呢？

非常感谢您的帮助！

【问题讨论】：

那些不是有效的配置指令。所以你创建的配置文件是无效的。您应该会在 http 服务器的错误日志文件中看到一个明确的错误。
@arkascha 谢谢你的回答！是的，这是无效的。这就是为什么我问如何才能正确编写它。
第一次在谷歌上点击“X-Frame-Options:allow-from”：developer.mozilla.org/en/docs/Web/HTTP/Headers/X-Frame-Options ...我会说在那里看了一眼，你可能正在寻找类似Header set X-Frame-Options "allow-from https://the-page-with-my-iframe.com/"的东西...
我已经阅读了这篇文章。但这并不能帮助我解决这个问题。一切都有意义，但我只是不知道该怎么做。我需要一个合适的代码或教程。
好吧，如果你读了它，那你为什么要实现别的东西呢？

标签： apache .htaccess http-headers content-security-policy x-frame-options

【解决方案1】：

x-frame-options: sameorigin 标头只允许在站点自己的域中进行框架。因此只需删除此标头即可。

如果您希望防止点击劫持，请在您的 Content-Security-Policy 标头中使用 frame-ancestors 指令：

content-security-policy:
  script-src 'self' 'unsafe-inline' 'unsafe-eval' *.mydomain.com;
  font-src 'self' *.mydomain.com;
  frame-ancestors 'self' https://the-page-with-my-iframe.com;

注意。 script-src 'unsafe-inline' 'unsafe-eval' 规则使您的 CSP 对 XSS 非常无效。考虑使用'nonce-value'而不是'unsafe-inline'，你真的需要'unsafe-eval'...

【讨论】：