Rails 4似乎将X-Frame-Options
HTTP响应头的默认值设置为SAMEORIGIN
.出于安全考虑,这是great,但它不允许应用程序的部分内容在不同域的iframe
中可用.
可以使用config.action_dispatch.default_headers
设置全局覆盖X-Frame-Options
的值:
config.action_dispatch.default_headers['X-Frame-Options'] = "ALLOW-FROM https://apps.facebook.com"
但是,如何仅通过一个控制器或操作来覆盖它呢?