允许的iframe白名单不起作用 - 'x-frame-options: SAMEORIGIN'

允许的 iframe 白名单对我们不起作用。我们添加了一个带有 plugin.rb 的 github 插件：

Rails.application.config.action_dispatch.default_headers.merge!({'X-Frame-Options' => 'ALLOWALL'})
Rails.application.config.action_dispatch.default_headers.merge!({'Access-Control-Allow-Origin' => '*'})
Rails.application.config.action_dispatch.default_headers.merge!({'Access-Control-Allow-Methods' => 'GET, POST, OPTIONS, DELETE'})
Rails.application.config.action_dispatch.default_headers.merge!({'Access-Control-Allow-Headers' => 'Content-Type, Authorization, X-Requested-With'})

但不知何故，Discourse 却将其恢复为
x-frame-options: SAMEORIGIN

在 http localhost 中一切正常，但在 https 部署后，一切都不起作用了。

你好，欢迎你 @boazcstrike

我认为最近的这个帖子 Iframe allow attribute not working - #13 by gilby 中有类似的问题。我认为 @falco 正在关注此事，所以他可能有一些更多信息？

嗨 Jammy！

我们终于搞定了。

有一个隐藏的设置叫做 allow_embedding_site_in_an_iframe，我们刚刚在 rails 应用中将其设置为 true：

SiteSetting.allow_embedding_site_in_an_iframe = true

谢谢！

太好了。 很高兴你成功了。

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.