在网站上嵌入`iframe`时，确保只有白名单（即允许列表）中的网站可以嵌入您的页面是非常重要的，这有助于防止点击劫持攻击和其他安全问题。通过设置`Content-Security-Policy`（CSP）的`frame-ancestors`指令，可以实现这一点。这个HTTP响应头部可以告诉浏览器哪些外部资源是可以加载的。

例如：

```http
Content-Security-Policy: frame-ancestors 'self' https://example1.com https://example2.com;
```

上面的CSP指令告诉浏览器只允许当前域（`'self'`）和`https://example1.com`以及`https://example2.com`这两个白名单网站将您的网页作为`iframe`嵌入。

这样一来，如果其他不在白名单上的网站尝试通过`iframe`嵌入您的内容，浏览器将不会加载这些`iframe`。

下面是如何在一个Web服务器上设置这样的策略的具体例子：

### 对于Apache服务器：

在`.htaccess`文件或者Apache配置文件中添加以下指令：

```apache
<IfModule mod_headers.c>
    Header always set Content-Security-Policy "frame-ancestors 'self' https://example1.com https://example2.com;"
</IfModule>
```

### 对于Nginx服务器：

在Nginx配置文件中，对于您的server block，你可以添加以下行：

```nginx
add_header Content-Security-Policy "frame-ancestors 'self' https://example1.com https://example2.com;";
```

请注意，修改服务器配置时应谨慎行事，并确保在生产环境中部署之前在开发或测试环境中进行充分测试。而且，在实施CSP策略时，需要确保它不会破坏页面上的其他功能。因此，逐步实施并进行详细的测试是非常重要的。

此外，`Content-Security-Policy`的实现和支持可能会随着浏览器的更新而变化，因此要定期检查最新的最佳实践和浏览器兼容性。

How to allow iframe embedding only for whitelisted websites?

1个答案

对于Apache服务器：

对于Nginx服务器：

你的答案