add_header X-Frame-Options SAMEORIGIN; |
if ($http_referer !~ "^https?://([^/]+metrika.*yandex\.(ru|ua|com|com\.tr|by|kz)|([^/]+\.)?webvisor\.com)/"){ add_header X-Frame-Options SAMEORIGIN; } |
Быть может лучшим решением было бы посмотреть в сторону CSP (Content Security Policy). Таким образом: 1. Оставляем "X-Frame-Options: SAMEORIGIN" в покое 2. Настраиваем CSP с учетом необходимостей вашего проекта. В том числе и frame-ancestors (Chrome 40+, FF 33+) |
Я уже предлагал Судя по голосам, это мало кому нужно. |
Быть может лучшим решением было бы посмотреть в сторону CSP (Content Security Policy). Таким образом:
1. Оставляем "X-Frame-Options: SAMEORIGIN" в покое
2. Настраиваем CSP с учетом необходимостей вашего проекта. В том числе и
И как бонус, повысите безопасность проекта в целом. Разумеется, при условии адекватной настройки CSP