Я планирую установить X-Frame-Options SAMEORIGIN на моем сервере httpd.conf как часть улучшения защиты от щелчков. Я так понимаю, это добавит X-Frame-Options заголовок в все страниц. Есть страница "виджетов", которую я хотел бы исключить из этого (другие сайты будут отображать эту страницу внутри IFRAME).
Есть ли способ настроить Apache 2 так, чтобы он не отправлял заголовок только для определенной страницы?
Да, использовать SetEnvIf:
SetEnvIf Request_URI "^/my_awesome_widget_page.html$" iframes_are_cool
Header set X-Frame-Options SAMEORIGIN env=!iframes_are_cool
Вы можете отключить заголовок X-Frame-Options в файле .htaccess (при условии, что ваш виджет находится в собственном подкаталоге):
Header always unset X-Frame-Options