Вопрос по Cloudflare

Всем привет. Столкнулся с такой проблемой: хочу на своем сайте №1 поставить iframe для показа страницы с сайта №2, но ифрейм не работает, пишет: Сайт №2 не позволяет установить соединение. ERR_BLOCKED_BY_RESPONSE.
На сайте сайт №2 стоит Cloudflare. Я так понимаю дело в нем. Подскажите пожалуйста или или дайте ссылку, где это можно прочитать, как исправить блокировку Cloudflare на разрешение установки iframe только на мой сайт №1

дело не в самом cf, а в заголовках, которые отдает сайт №2. ошибка ERR_BLOCKED_BY_RESPONSE — это браузер видит хедер X-Frame-Options: SAMEORIGIN (или DENY) и блокирует рендеринг. это защита от кликджекинга.

чтобы заработало, надо на сайте №2 разрешить встраивание. варианта два:

1. на уровне веб-сервера (nginx/apache) прописать заголовок Content-Security-Policy: frame-ancestors https://сайт-номер-1.com;

2. если доступа к конфигам нет, то через сам cloudflare: идешь в Rules -> Transform Rules -> Modify Response Header. создаешь правило: Set static -> удаляешь X-Frame-Options и добавляешь Content-Security-Policy с нужным доменом.

без правки заголовков фрейм не поднимется.

Новые темы	Объявления	Свободное общение
02:35 С чего сейчас проще начать? 01:26 Трафик в минус, соцсети в топе - Завершено февральское обновление Google Discover 01:02 Простая тема Вордпресс 00:53 Голод на биржах: Всё приличное уже выкуплено. Куда нести остатки бюджета? 00:05 WB и Ozon - новые "русские поисковики"? Яндекс теряет коммерческую выдачу 23:38 Ссылки с сайтов РБ 22:50 продажа ссылок с ai-сеток в 26-м- тема рип или просто все молчат?	00:06 BIGPROXY.SHOP - Резидентные Ротационные Backconnect Proxy USA EUROPA MIX [Безлимитный трафик] 21:27 Курс по Продаже Ссылок в Буржнете !!! 20:35 Mixmasters - Exchange without AML and KYC 17:03 Nexulume.com Обменник без AML и KYC 13:29 Чек номеров на наличие Telegram/ Filter (checking) numbers Telegram 11:25 Swapwatch.org — Мониторинг криптовалютных обменников 11:22 EM24.biz - обмен валют	05:21 Точные прогнозы на футбол 21:20 Смотри, птичка! Трамп вскрывает папки про НЛО 21:13 Добро пожаловать в цифровой мир... 21:08 Вместо золота - RTX 5090: почему кремний стал валютой на свадьбах 09:20 Ставки на супер тренды в спорте 05:58 Тройной агент Паша Дуров 07:42 Помогите, пожалуйста...

Новые темы

Объявления

Свободное общение

02:35 С чего сейчас проще начать?
01:26 Трафик в минус, соцсети в топе - Завершено февральское обновление Google Discover
01:02 Простая тема Вордпресс
00:53 Голод на биржах: Всё приличное уже выкуплено. Куда нести остатки бюджета?
00:05 WB и Ozon - новые "русские поисковики"? Яндекс теряет коммерческую выдачу
23:38 Ссылки с сайтов РБ
22:50 продажа ссылок с ai-сеток в 26-м- тема рип или просто все молчат?

00:06 BIGPROXY.SHOP - Резидентные Ротационные Backconnect Proxy USA EUROPA MIX [Безлимитный трафик]
21:27 Курс по Продаже Ссылок в Буржнете !!!
20:35 Mixmasters - Exchange without AML and KYC
17:03 Nexulume.com Обменник без AML и KYC
13:29 Чек номеров на наличие Telegram/ Filter (checking) numbers Telegram
11:25 Swapwatch.org — Мониторинг криптовалютных обменников
11:22 EM24.biz - обмен валют

05:21 Точные прогнозы на футбол
21:20 Смотри, птичка! Трамп вскрывает папки про НЛО
21:13 Добро пожаловать в цифровой мир...
21:08 Вместо золота - RTX 5090: почему кремний стал валютой на свадьбах
09:20 Ставки на супер тренды в спорте
05:58 Тройной агент Паша Дуров
07:42 Помогите, пожалуйста...

01.02.2017 00:34	Вопрос по Microsoft Web Platform Installer 5.0 на win server 2012
26.01.2015 02:08	Вопрос по хостингу
31.10.2013 02:59	Вопрос по прикреплению домена

sys_op Сообщений: 37 Регистрация: Янв 2026	#2 18 Января 2026 16:22 дело не в самом cf, а в заголовках, которые отдает сайт №2. ошибка ERR_BLOCKED_BY_RESPONSE — это браузер видит хедер X-Frame-Options: SAMEORIGIN (или DENY) и блокирует рендеринг. это защита от кликджекинга. чтобы заработало, надо на сайте №2 разрешить встраивание. варианта два: 1. на уровне веб-сервера (nginx/apache) прописать заголовок Content-Security-Policy: frame-ancestors https://сайт-номер-1.com; 2. если доступа к конфигам нет, то через сам cloudflare: идешь в Rules -> Transform Rules -> Modify Response Header. создаешь правило: Set static -> удаляешь X-Frame-Options и добавляешь Content-Security-Policy с нужным доменом. без правки заголовков фрейм не поднимется.