Как переопределить X-Frame-Options для контроллера или действия в Rails 4

Если вы хотите полностью удалить заголовок, вы можете создать фильтр after_action:

class FilesController < ApplicationController
  after_action :allow_iframe, only: :embed

  def embed
  end

private

  def allow_iframe
    response.headers.except! 'X-Frame-Options'
  end
end

Или, конечно, вы можете закодировать after_action, чтобы установить другое значение:

class FacebookController < ApplicationController
  after_action :allow_facebook_iframe

private

  def allow_facebook_iframe
    response.headers['X-Frame-Options'] = 'ALLOW-FROM https://apps.facebook.com'
  end
end

Обратите внимание, что вам нужно очистить кеш в некоторых браузерах (Chrome для меня) во время отладки.

Я просто хотел включить здесь обновленный ответ для всех, кто найдет эту ссылку, пытаясь выяснить, как разрешить встраивание вашего Rails-приложения в I-Frame и столкнуться с проблемами.

На момент написания этой статьи, 28 мая 2020 года, изменения X-Frame-Options, вероятно, не являются лучшим решением вашей проблемы. Опция «РАЗРЕШИТЬ-ОТ» полностью запрещена всеми основными браузерами.

Современное решение - реализовать Content-Security-Policy и установить политику frame_ancestors. Ключ frame_ancestors указывает, какие домены могут встраивать ваше приложение в качестве iframe. В настоящее время он поддерживается основными браузерами и отменяет ваши параметры X-Frame. Это позволит вам предотвратить кликджекинг (с которым X-Frame-Options должен был помочь до того, как он в значительной степени устарел) и заблокировать ваше приложение в современной среде.

Вы можете настроить Content-Security-Policy с Rails 5.2 в инициализаторе (пример ниже), а для Rails ‹5.2 вы можете использовать гем вроде Secure Headers: https://github.com/github/secure_headers

Вы также можете переопределить спецификации политики для контроллера / действия, если хотите.

Content-Security-Policies отлично подходят для расширенной защиты. Ознакомьтесь со всем, что вы можете настроить, в документации Rails: https://edgeguides.rubyonrails.org/security.html

Пример Rails 5.2 для Content-Security-Policy:

# config/initializers/content_security_policy.rb    
    Rails.application.config.content_security_policy do |policy|
      policy.frame_ancestors :self, 'some_website_that_embeds_your_app.com'
    end

Пример изменения политики для конкретного контроллера:

# Override policy inline
class PostsController < ApplicationController
  content_security_policy do |p|
    p.frame_ancestors :self, 'some_other_website_that_can_embed_posts.com'
  end
end

Приведенные выше ответы действительно помогли мне, но в 2021 году, используя приложение Rails 4.2, мне нужно было отключить X-Frame-Options и указать Content-Security-Policy только для пары URL-адресов.

В частности, я использую 2checkout в качестве поставщика платежей, и они открывают некоторые URL-адреса в окнах iframe ....

Вот как я это сделал

class HomeController < ApplicationController
    after_action :allow_2checkout_iframe, only: [:privacy, :terms_of_service]

    def privacy
    end

    def terms_of_service
    end

    private
        def allow_2checkout_iframe
            response.headers.except! 'X-Frame-Options'
            response.headers['Content-Security-Policy'] = "frame-ancestors 'self' https://secure.2checkout.com"
        end
end

Для Rails 5+ используйте вместо этого response.set_header('X-Frame-Options', 'ALLOW-FROM https://apps.facebook.com'). Или, если ALLOW-FROM не работает и вам нужно быстрое исправление, вы можете установить для него ALLOWALL