X-Frame-Options настройка для корректной работы панели консультирования Callpy

отредактировано Декабрь 2015 Раздел: Панель менеджера
Для полнофункциональной работы панели консультирования (чтобы консультант мог наблюдать за действиями клиентов на Вашем сайте), Вам необходимо добавить возможность загружать Ваш
сайт в iframe с нашего домена callpy.com. Для этого Вы должны убедиться либо в отсутствии заголовка X-Frame-Options от Вашего веб-сервера, либо добавить в этот заголовок наш домен callpy.com.
Например, так выглядит заголовок ответа сервера, когда сайт запрещает загружать себя в iframe, кроме как с собственных страниц:
X-Frame-Options: SAMEORIGIN

Чтобы разрешить загружать Ваш сайт в iframe с нашего домена, Вы должны изменить этот заголовок. Есть несколько вариантов:
1. Min безопасность, max простота. Удалить заголовок. Это позволит загружать Ваш сайт в iframe со всех ресурсов, включая наш домен.
2. Хорошая безопасность, max простота. Изменить заголовок на "X-Frame-Options: ALLOW-FROM http://callpy.com". Это позволит разрешить загрузку Вашего сайта в iframe только с нашего домена. Это самое лучшее решение, при условии, что у Вас нет необходимости загружать Ваш сайт в iframe с собственных страниц.
3. Max безопасность, min простота. Это самый сложный и надежный вариант. Он не имеет ограничений, в отличие от предыдущего. Вы должны возвращать заголовок "X-Frame-Options: ALLOW-FROM http://callpy.com" только в случае, если запрос приходит со страницы нашей панели консультирования. Подробнее об этом варианте в RFC7024: https://tools.ietf.org/html/rfc7034#section-2.3.2.3
Войдите или Зарегистрируйтесь чтобы комментировать.