MDN не указывает значение «ALLOWALL» в качестве возможного для заголовка X-Frame-Options. В Firefox при загрузке любой страницы с внедрённым контентом в консоли можно увидеть следующее:
Есть ли способ не отправлять этот заголовок и вместо этого указать директиву frame-ancestors для заголовка Content-Security-Policy? Судя по коду, настроить это невозможно.
Я увидел эту ошибку, работая над встраиванием в нашем новом блоге. Самый простой выход — просто убрать этот заголовок, верно?
Я так думаю, да. Я исхожу из того, что вы имели в виду удаление его из Discourse (а не скрытие с помощью какой-либо конфигурации Nginx). Сам заголовок в любом случае теперь считается устаревшим. В этом файле есть и другие вхождения того же заголовка.
Примечание: HTTP-заголовок Content-Security-Policy содержит директиву frame-ancestors, которая делает этот заголовок устаревшим для поддерживающих браузеров.
Это исправлено сейчас:
