oauth X-Frame-Options 跳转授权页面时，302重定向禁用iframe

标签：ade   headers   auth   author   sam   filter   format   orm   响应   

因为oauth/authorize响应头包含X-Frame-Options: DENY
解决方案：
openresty nginx 移除该属性,经测试生效

more_clear_headers X-Frame-Options;

====打印日志，发现没有了该属性；
set $resp_header "";
header_filter_by_lua ‘
local h = ngx.resp.get_headers()
for k, v in pairs(h) do
ngx.var.resp_header=ngx.var.resp_header..k..": "..v
end
‘;

log_format main ‘"$resp_header"‘;

引用：

现代浏览器在HTTP的header中加入了X-Frame-Options选项，浏览器可以根据这个选项来决定某个资源是否允许通过frame或iframe嵌套到别的网站中。
如果响应头中将其值设置为了SAMEORIGIN，则告诉浏览器该资源仅允许被嵌套在同源网站，如果值为DENY，则在任何位置的嵌套都是不允许的。

oauth X-Frame-Options 跳转授权页面时，302重定向禁用iframe

标签：ade   headers   auth   author   sam   filter   format   orm   响应   

原文地址：http://www.cnblogs.com/guozefeng/p/7286827.html