У меня есть случай, когда клиент хочет удалить заголовок SAMEORIGIN и добавить ALLOW-FROM. Это Apache 2.22
Я сделал это как в конфигурации http: //, так и в https: //:
Набор заголовков X-Frame-Options "ALLOW-FROM ..."
Когда я скручиваю http: // url, я вижу только заголовок ALLOW-FROM, а не заголовок SAMEORIGIN. Однако при скручивании URL https: // он все равно добавляет заголовок SAMEORIGIN перед ALLOW-FROM. Я проверил глобальные конфигурации apache и сайт .htaccess и не могу найти, где это принудительно.
Я также попытался сначала отключить заголовки, а затем установить ALLOW-FROM как в https: // conf, так и в .htaccess.
Где еще мне посмотреть?
Догадаться. В коде сайта скрыты некоторые файлы конфигурации php, которые вызывают sameorigin.