Вопрос по Cloudflare

Всем привет. Столкнулся с такой проблемой: хочу на своем сайте №1 поставить iframe для показа страницы с сайта №2, но ифрейм не работает, пишет: Сайт №2 не позволяет установить соединение. ERR_BLOCKED_BY_RESPONSE.
На сайте сайт №2 стоит Cloudflare. Я так понимаю дело в нем. Подскажите пожалуйста или или дайте ссылку, где это можно прочитать, как исправить блокировку Cloudflare на разрешение установки iframe только на мой сайт №1

дело не в самом cf, а в заголовках, которые отдает сайт №2. ошибка ERR_BLOCKED_BY_RESPONSE — это браузер видит хедер X-Frame-Options: SAMEORIGIN (или DENY) и блокирует рендеринг. это защита от кликджекинга.

чтобы заработало, надо на сайте №2 разрешить встраивание. варианта два:

1. на уровне веб-сервера (nginx/apache) прописать заголовок Content-Security-Policy: frame-ancestors https://сайт-номер-1.com;

2. если доступа к конфигам нет, то через сам cloudflare: идешь в Rules -> Transform Rules -> Modify Response Header. создаешь правило: Set static -> удаляешь X-Frame-Options и добавляешь Content-Security-Policy с нужным доменом.

без правки заголовков фрейм не поднимется.

Новые темы	Объявления	Свободное общение
11:58 Adsense личный опыт 10:54 2Index - быстрая индексация страниц сайта и обратных ссылок 09:36 В Яндексе позиции держатся, а трафик проседает - стало заметно сильнее 09:27 Скан глаза для Zoom и Tinder + ап Яндекса 21 апреля. К этому реально всё идёт? 09:16 Заказал "положить сайт" а положили тебя? Полиция добралась до клиентов DDoS-сервисов 09:13 ИИ врёт, но ему всё равно верят. Что это значит для сайтов и трафика 09:07 Claude по паспорту + апдейт Яндекса 17 апреля - у кого что по выдаче	11:50 garantcoin.io - быстрый и надёжный сервис обмена криптовалюты GarantCoin 11:20 Owlchange.com — сервис обмена криптовалют с выплатами в фиат 10:56 Прошу оценить сайт 09:03 Продажа горячих лидов под крипту / Crypto Leads for Sale 08:54 Swapwatch.org — Мониторинг криптовалютных обменников 23:17 SOCKS5 приватные прокси на 30 дней для PayPal 23:16 Google Voice аккаунты для бесплатных SMS и звонков	00:31 Точные прогнозы на футбол 17:51 Осторожно! Криптовалюта 20:26 37 противникам прививок от COVID грозят уголовные дела 10:01 Какой фильм посмотреть сегодня вечером? 00:15 Ставки на супер тренды в спорте 23:19 Хочешь чат в PlayStation? Покажи лицо. Как нас постепенно привязывают к личности 21:31 ЕС сделал проверку возраста, а её уже ломают за минуты. Серьёзно?

Новые темы

Объявления

Свободное общение

11:58 Adsense личный опыт
10:54 2Index - быстрая индексация страниц сайта и обратных ссылок
09:36 В Яндексе позиции держатся, а трафик проседает - стало заметно сильнее
09:27 Скан глаза для Zoom и Tinder + ап Яндекса 21 апреля. К этому реально всё идёт?
09:16 Заказал "положить сайт" а положили тебя? Полиция добралась до клиентов DDoS-сервисов
09:13 ИИ врёт, но ему всё равно верят. Что это значит для сайтов и трафика
09:07 Claude по паспорту + апдейт Яндекса 17 апреля - у кого что по выдаче

11:50 garantcoin.io - быстрый и надёжный сервис обмена криптовалюты GarantCoin
11:20 Owlchange.com — сервис обмена криптовалют с выплатами в фиат
10:56 Прошу оценить сайт
09:03 Продажа горячих лидов под крипту / Crypto Leads for Sale
08:54 Swapwatch.org — Мониторинг криптовалютных обменников
23:17 SOCKS5 приватные прокси на 30 дней для PayPal
23:16 Google Voice аккаунты для бесплатных SMS и звонков

00:31 Точные прогнозы на футбол
17:51 Осторожно! Криптовалюта
20:26 37 противникам прививок от COVID грозят уголовные дела
10:01 Какой фильм посмотреть сегодня вечером?
00:15 Ставки на супер тренды в спорте
23:19 Хочешь чат в PlayStation? Покажи лицо. Как нас постепенно привязывают к личности
21:31 ЕС сделал проверку возраста, а её уже ломают за минуты. Серьёзно?

01.02.2017 00:34	Вопрос по Microsoft Web Platform Installer 5.0 на win server 2012
26.01.2015 02:08	Вопрос по хостингу
31.10.2013 02:59	Вопрос по прикреплению домена

sys_op Сообщений: 78 Регистрация: Янв 2026	#2 18 Января 2026 16:22 дело не в самом cf, а в заголовках, которые отдает сайт №2. ошибка ERR_BLOCKED_BY_RESPONSE — это браузер видит хедер X-Frame-Options: SAMEORIGIN (или DENY) и блокирует рендеринг. это защита от кликджекинга. чтобы заработало, надо на сайте №2 разрешить встраивание. варианта два: 1. на уровне веб-сервера (nginx/apache) прописать заголовок Content-Security-Policy: frame-ancestors https://сайт-номер-1.com; 2. если доступа к конфигам нет, то через сам cloudflare: идешь в Rules -> Transform Rules -> Modify Response Header. создаешь правило: Set static -> удаляешь X-Frame-Options и добавляешь Content-Security-Policy с нужным доменом. без правки заголовков фрейм не поднимется.