MDN ne spécifie pas « ALLOWALL » comme valeur possible pour l’en-tête X-Frame-Options. Sur Firefox, lors du chargement d’une page contenant une intégration, on peut voir dans la console :
Existe-t-il un moyen de ne pas envoyer cet en-tête et de spécifier la directive frame-ancestors pour l’en-tête Content-Security-Policy ? D’après le code, il ne semble pas qu’il soit possible de configurer cela.
J’ai vu cette erreur en travaillant sur l’intégration de notre nouveau blog. La chose la plus simple à faire est de supprimer cet en-tête, non ?
Je le pense, oui. Je suppose que vous vouliez dire le supprimer de Discourse (par opposition à le masquer en utilisant une configuration Nginx). L’en-tête lui-même est désormais considéré comme obsolète. Il existe d’autres occurrences du même en-tête dans ce fichier.
Note : L’en-tête HTTP Content-Security-Policy dispose d’une directive frame-ancestors qui rend cet en-tête obsolète pour les navigateurs qui le prennent en charge.
Ceci est maintenant corrigé :
Ce sujet a été automatiquement fermé après 4 jours. De nouvelles réponses ne sont plus autorisées.
