Вопрос по Cloudflare

Всем привет. Столкнулся с такой проблемой: хочу на своем сайте №1 поставить iframe для показа страницы с сайта №2, но ифрейм не работает, пишет: Сайт №2 не позволяет установить соединение. ERR_BLOCKED_BY_RESPONSE.
На сайте сайт №2 стоит Cloudflare. Я так понимаю дело в нем. Подскажите пожалуйста или или дайте ссылку, где это можно прочитать, как исправить блокировку Cloudflare на разрешение установки iframe только на мой сайт №1

дело не в самом cf, а в заголовках, которые отдает сайт №2. ошибка ERR_BLOCKED_BY_RESPONSE — это браузер видит хедер X-Frame-Options: SAMEORIGIN (или DENY) и блокирует рендеринг. это защита от кликджекинга.

чтобы заработало, надо на сайте №2 разрешить встраивание. варианта два:

1. на уровне веб-сервера (nginx/apache) прописать заголовок Content-Security-Policy: frame-ancestors https://сайт-номер-1.com;

2. если доступа к конфигам нет, то через сам cloudflare: идешь в Rules -> Transform Rules -> Modify Response Header. создаешь правило: Set static -> удаляешь X-Frame-Options и добавляешь Content-Security-Policy с нужным доменом.

без правки заголовков фрейм не поднимется.

Новые темы	Объявления	Свободное общение
06:06 Телега на ручнике: РКН включил замедление и логи админок покраснели 03:35 MAX выкатил приватные каналы - закрытые тусы теперь лепишь за минуту 15:39 Кнопки "скрыть" и "пожаловаться" в рекламе яндекса 15:23 Яндекс туда же: "Нейро" отжал 50% первого экрана. Органический трафик падает 18:27 Карпати реально заставил GPT, Кло, Gemini и Grok спорить между собой перед ответом 15:30 Indus AI: индийский "грааль" или мусор для дорвеев? 12:55 3snet - гемблинг, беттинг, форекс, бинарные опционы, майнинг	01:01 Portfel.cc - современный помощник в Ваших финансовых операциях. 21:53 TETChange-Обменник криптовалют 19:00 Volna.money 18:57 GoodsMoney.io 16:05 Mixmasters - Exchange without AML and KYC 12:57 Bardo — Бюро развития и координации цифровых операций. 12:09 Nexulume.com Обменник без AML и KYC	03:52 Точные прогнозы на футбол 22:28 Добро пожаловать в цифровой мир... 13:09 Смотри, птичка! Трамп вскрывает папки про НЛО 04:49 Ставки на супер тренды в спорте 20:25 Вместо золота - RTX 5090: почему кремний стал валютой на свадьбах 18:50 Тройной агент Паша Дуров 08:25 Список обновленных тем пуст...

Новые темы

Объявления

Свободное общение

06:06 Телега на ручнике: РКН включил замедление и логи админок покраснели
03:35 MAX выкатил приватные каналы - закрытые тусы теперь лепишь за минуту
15:39 Кнопки "скрыть" и "пожаловаться" в рекламе яндекса
15:23 Яндекс туда же: "Нейро" отжал 50% первого экрана. Органический трафик падает
18:27 Карпати реально заставил GPT, Кло, Gemini и Grok спорить между собой перед ответом
15:30 Indus AI: индийский "грааль" или мусор для дорвеев?
12:55 3snet - гемблинг, беттинг, форекс, бинарные опционы, майнинг

01:01 Portfel.cc - современный помощник в Ваших финансовых операциях.
21:53 TETChange-Обменник криптовалют
19:00 Volna.money
18:57 GoodsMoney.io
16:05 Mixmasters - Exchange without AML and KYC
12:57 Bardo — Бюро развития и координации цифровых операций.
12:09 Nexulume.com Обменник без AML и KYC

03:52 Точные прогнозы на футбол
22:28 Добро пожаловать в цифровой мир...
13:09 Смотри, птичка! Трамп вскрывает папки про НЛО
04:49 Ставки на супер тренды в спорте
20:25 Вместо золота - RTX 5090: почему кремний стал валютой на свадьбах
18:50 Тройной агент Паша Дуров
08:25 Список обновленных тем пуст...

01.02.2017 00:34	Вопрос по Microsoft Web Platform Installer 5.0 на win server 2012
26.01.2015 02:08	Вопрос по хостингу
31.10.2013 02:59	Вопрос по прикреплению домена

sys_op Сообщений: 25 Регистрация: Янв 2026	#2 18 Января 2026 16:22 дело не в самом cf, а в заголовках, которые отдает сайт №2. ошибка ERR_BLOCKED_BY_RESPONSE — это браузер видит хедер X-Frame-Options: SAMEORIGIN (или DENY) и блокирует рендеринг. это защита от кликджекинга. чтобы заработало, надо на сайте №2 разрешить встраивание. варианта два: 1. на уровне веб-сервера (nginx/apache) прописать заголовок Content-Security-Policy: frame-ancestors https://сайт-номер-1.com; 2. если доступа к конфигам нет, то через сам cloudflare: идешь в Rules -> Transform Rules -> Modify Response Header. создаешь правило: Set static -> удаляешь X-Frame-Options и добавляешь Content-Security-Policy с нужным доменом. без правки заголовков фрейм не поднимется.