Заблокировать страницы в iframe, кроме нескольких доменов

Заблокировать страницы в iframe, кроме нескольких доменов

Для поддержки IВ заголовке X-Frame-Options есть третий параметр – ALLOW-FROM, который указывает разрешенный URL, но он устарел и не работает. На смену ему пришел заголовок Content-Security-Policy с директивой frame-ancestors.

htaccess:

<IfModule headers_module>
Header set Content-Security-Policy "frame-ancestors 'self' http://example.com http://example.ru" 
</IfModule>

Для поддержки IE, нужно отправлять второй заголовок Content-Security-Policy с таким же содержанием.

PHP:

header("Content-Security-Policy: frame-ancestors 'self' http://example.com http://example.ru");

Второй вариант, без заголовка Content-Security-Policy:

if (strpos($_SERVER['HTTP_REFERER'], 'example.com') === false && strpos($_SERVER['HTTP_REFERER'], 'example.ru') === false) {
	Header('X-Frame-Options: SAMEORIGIN');
}