Вопрос по Cloudflare

Всем привет. Столкнулся с такой проблемой: хочу на своем сайте №1 поставить iframe для показа страницы с сайта №2, но ифрейм не работает, пишет: Сайт №2 не позволяет установить соединение. ERR_BLOCKED_BY_RESPONSE.
На сайте сайт №2 стоит Cloudflare. Я так понимаю дело в нем. Подскажите пожалуйста или или дайте ссылку, где это можно прочитать, как исправить блокировку Cloudflare на разрешение установки iframe только на мой сайт №1

дело не в самом cf, а в заголовках, которые отдает сайт №2. ошибка ERR_BLOCKED_BY_RESPONSE — это браузер видит хедер X-Frame-Options: SAMEORIGIN (или DENY) и блокирует рендеринг. это защита от кликджекинга.

чтобы заработало, надо на сайте №2 разрешить встраивание. варианта два:

1. на уровне веб-сервера (nginx/apache) прописать заголовок Content-Security-Policy: frame-ancestors https://сайт-номер-1.com;

2. если доступа к конфигам нет, то через сам cloudflare: идешь в Rules -> Transform Rules -> Modify Response Header. создаешь правило: Set static -> удаляешь X-Frame-Options и добавляешь Content-Security-Policy с нужным доменом.

без правки заголовков фрейм не поднимется.

Новые темы	Объявления	Свободное общение
18:06 С чего сейчас проще начать? 17:45 PHP 8 ломает старые сайты. Кто уже обновился - что отвалилось? 17:42 Почему даже при маленьком трафике сервер умирает? Разбираем реальные причины 17:41 Биржи ссылок в 2026 - реально ли новичку с одним сайтом поднять копейку? 17:31 WB и Ozon - новые "русские поисковики"? Яндекс теряет коммерческую выдачу 17:29 Яндекс Нейро и выдача в 2026 - остались ли лазейки для маленьких сайтов? 17:28 ИКС Яндекс АПдейт 1 апреля 2026. Обновлён алгоритм расчёта	18:36 Bardo — Бюро развития и координации цифровых операций. 18:00 Русские народные сказки - оцените! 15:07 Продажа аккаунтов HH.RU 13:47 OneSix Wallet – Оплата по QR-коду и вывод на карту с баланса USDT 12:14 Мониторинг обменников Сrypto-scout.io 09:31 Monitex: Мониторинг с кэшбэком 80% в USDT 22:14 Услуги рассылки Viber\|Whatsapp\|IMO.	18:07 "Вымпелком" предложил белые списки для части абонентов - выборочный интернет вместо полного доступа 17:52 Список обновленных тем пуст... 17:51 Чак Норрис ушел - 19 марта 2026, 86 лет, семья подтвердила 17:48 А вы бегаете? 15:29 арбитражники 14:06 С юмором по жизни! 10:18 Добро пожаловать в цифровой мир...

Новые темы

Объявления

Свободное общение

18:06 С чего сейчас проще начать?
17:45 PHP 8 ломает старые сайты. Кто уже обновился - что отвалилось?
17:42 Почему даже при маленьком трафике сервер умирает? Разбираем реальные причины
17:41 Биржи ссылок в 2026 - реально ли новичку с одним сайтом поднять копейку?
17:31 WB и Ozon - новые "русские поисковики"? Яндекс теряет коммерческую выдачу
17:29 Яндекс Нейро и выдача в 2026 - остались ли лазейки для маленьких сайтов?
17:28 ИКС Яндекс АПдейт 1 апреля 2026. Обновлён алгоритм расчёта

18:36 Bardo — Бюро развития и координации цифровых операций.
18:00 Русские народные сказки - оцените!
15:07 Продажа аккаунтов HH.RU
13:47 OneSix Wallet – Оплата по QR-коду и вывод на карту с баланса USDT
12:14 Мониторинг обменников Сrypto-scout.io
09:31 Monitex: Мониторинг с кэшбэком 80% в USDT
22:14 Услуги рассылки Viber|Whatsapp|IMO.

18:07 "Вымпелком" предложил белые списки для части абонентов - выборочный интернет вместо полного доступа
17:52 Список обновленных тем пуст...
17:51 Чак Норрис ушел - 19 марта 2026, 86 лет, семья подтвердила
17:48 А вы бегаете?
15:29 арбитражники
14:06 С юмором по жизни!
10:18 Добро пожаловать в цифровой мир...

01.02.2017 00:34	Вопрос по Microsoft Web Platform Installer 5.0 на win server 2012
26.01.2015 02:08	Вопрос по хостингу
31.10.2013 02:59	Вопрос по прикреплению домена

sys_op Сообщений: 69 Регистрация: Янв 2026	#2 18 Января 2026 16:22 дело не в самом cf, а в заголовках, которые отдает сайт №2. ошибка ERR_BLOCKED_BY_RESPONSE — это браузер видит хедер X-Frame-Options: SAMEORIGIN (или DENY) и блокирует рендеринг. это защита от кликджекинга. чтобы заработало, надо на сайте №2 разрешить встраивание. варианта два: 1. на уровне веб-сервера (nginx/apache) прописать заголовок Content-Security-Policy: frame-ancestors https://сайт-номер-1.com; 2. если доступа к конфигам нет, то через сам cloudflare: идешь в Rules -> Transform Rules -> Modify Response Header. создаешь правило: Set static -> удаляешь X-Frame-Options и добавляешь Content-Security-Policy с нужным доменом. без правки заголовков фрейм не поднимется.