Я пытался найти ответ на этот вопрос, но не смог найти ничего окончательного. Для X-Frame-Options, похоже, существует только ограниченная поддержка опции 'Allow-From', которая позволяет вам занести в белый список URL-адрес, который может встроить ваш сайт в iFrame (на основе http://caniuse.com/#feat=x-frame-options где браузеры с блоками желтого цвета - это те, которые не поддерживают параметр Allow-From).
Я хочу внести в белый список URL-адрес стороннего сайта, который загружает мой сайт в iFrame, особенно в Safari на iOS (по какой-то причине это не относится к любому другому мобильному или настольному браузеру). В чем я не уверен, так это в откате при использовании «Allow-From»; в браузерах, которые его не поддерживают. Безопасно ли его использовать или это может вызвать угрозу безопасности из-за непредсказуемости отката?
Благодарен за любые указатели.
Клиенты, которые не поддерживают его, проигнорируют его, в нем больше ничего нет, и нет запасных или промежуточных сроков.
Я бы порекомендовал вам использовать CSP (Content Security Policy), который имеет более широкий спектр клиентских браузеров, которые его поддерживают и допускают гораздо более конкретные настройки.