通常在做iframe嵌入都會為了避免Clickjacking攻擊
而在header加上X-Frame-Options
而往往最基本的防護就是在所有的header上
加上X-Frame-Options SAMEORIGIN
但是若要靈活的使用就不容易了
例如:
若在想要的subdomain下允許嵌入
亦或是在不同的domain下允許嵌入
最終目的就是希望達到可以再任意想要的domain下允許嵌入
在此把我個人的見解以及觀念跟大家分享
(實際實作要看所使用的語言而定)

STEP1
在每個Request進來的時候判斷Referer
可以使用正向表列比較容易判斷
如果有Referer則允許嵌入 否則不允許


STEP2
根據允許嵌入的domain動態配置header
PS:可以利用一個array將允許的domain放入


最後給出一個Pseudocode給大家參考參考:

if(referer != "")
  if(domains.contains(referer.domain))
    Respones.header.set(X-Frame-Options, ALLOW-FROM + referer.domain)  
else
  Respones.header.set(X-Frame-Options, SAMEORIGIN)  

在寫文章的時候發現
Referer其實是拼錯的單字
因為當初在早期定義HTTP規範時就拼錯了
所以就將錯就錯摟…(正確是Referrer)