Какова политика по умолчанию в приложении asp.net mvc? Также как связаны CORS и X-Frame-Options?
Если я создам новое веб-приложение MVC (размещенное в IIS) на порту, например. 21232, я добавляю iframe в представления индекса с источником, установленным на мой локальный IIS, например.
<iframe src="http://localhost/iisstart.htm" width="800" height="100"/>
Это отлично работает (хотя и на другом порту для веб-приложения).
Если я сейчас изменю источник iframe на что-то полностью внешнее, например.
<iframe src="http://www.google.com" width="800" height="100"/>
Теперь это отображает пустой iframe. Если я загляну в инструменты разработчика Chrome (Chrome используется в обоих примерах), я увижу ошибку в консоли.
Отказался отображать 'https://www.google.co.uk' во фрейме, поскольку он установил ' X-Frame-Options» на «SAMEORIGIN».
- Почему первый URL-адрес работал, когда адрес находится на другом порту страницы хостинга?
- Как X-Frame-Options связаны с CORS? Я попытался добавить следующее в свой web.config (см. ссылку включить cors в IIS)
<add name="Access-Control-Allow-Origin" value="*" />
Что не имело значения. Похоже, мне нужно добавить следующее в Application_Start в файле global.asax.cs
AntiForgeryConfig.SuppressXFrameOptionsHeader = true;
Связаны ли X-Frame-Options с iframe?