Вопрос по Cloudflare

Всем привет. Столкнулся с такой проблемой: хочу на своем сайте №1 поставить iframe для показа страницы с сайта №2, но ифрейм не работает, пишет: Сайт №2 не позволяет установить соединение. ERR_BLOCKED_BY_RESPONSE.
На сайте сайт №2 стоит Cloudflare. Я так понимаю дело в нем. Подскажите пожалуйста или или дайте ссылку, где это можно прочитать, как исправить блокировку Cloudflare на разрешение установки iframe только на мой сайт №1

дело не в самом cf, а в заголовках, которые отдает сайт №2. ошибка ERR_BLOCKED_BY_RESPONSE — это браузер видит хедер X-Frame-Options: SAMEORIGIN (или DENY) и блокирует рендеринг. это защита от кликджекинга.

чтобы заработало, надо на сайте №2 разрешить встраивание. варианта два:

1. на уровне веб-сервера (nginx/apache) прописать заголовок Content-Security-Policy: frame-ancestors https://сайт-номер-1.com;

2. если доступа к конфигам нет, то через сам cloudflare: идешь в Rules -> Transform Rules -> Modify Response Header. создаешь правило: Set static -> удаляешь X-Frame-Options и добавляешь Content-Security-Policy с нужным доменом.

без правки заголовков фрейм не поднимется.

Новые темы	Объявления	Свободное общение
23:27 Биржи ссылок в 2026 - реально ли новичку с одним сайтом поднять копейку? 23:24 Яндекс Нейро и выдача в 2026 - остались ли лазейки для маленьких сайтов? 23:05 Раскрутка форума 23:01 Очередной взлом через плагин. Хакеры получают админку без пароля 20:41 adsense в 2026: кто реально выводит копейку через киргизию? 10:50 Альтернативы Адсенсу в 2026 - есть живые? 10:04 Как поймать партнера на «сливе» бренда?	22:47 1obmen.net - обмен криптовалют: выплаты в USD, EUR, GBP, CAD, CNY 15:33 GhostRocket.pro — Взлетаем в новую эру криптообмена! 14:36 Продам жирный аккаунт fl.ru 14:07 Продам аккаунты Gmail USA IP \| Gmail MIX IP \| Outlook Old 12:54 Mixmasters - Exchange without AML and KYC 12:31 Сервис ReCaptcha 2, 30р за 1000 решений. 12:08 Продвижение YouTube видео в топ поиска \| Любой тип контента \| Гарантия результата	19:01 8 марта: желаю аптайма 99.9% и e-e-a-t без локов 18:51 Огородники 16:47 Какой фильм вы любите посмотреть перед сном? 15:46 молодильные яблоки и живая вода 10:11 О природе путешествий. 01:47 Точные прогнозы на футбол 15:04 Сайты Рунета

Новые темы

Объявления

Свободное общение

23:27 Биржи ссылок в 2026 - реально ли новичку с одним сайтом поднять копейку?
23:24 Яндекс Нейро и выдача в 2026 - остались ли лазейки для маленьких сайтов?
23:05 Раскрутка форума
23:01 Очередной взлом через плагин. Хакеры получают админку без пароля
20:41 adsense в 2026: кто реально выводит копейку через киргизию?
10:50 Альтернативы Адсенсу в 2026 - есть живые?
10:04 Как поймать партнера на «сливе» бренда?

22:47 1obmen.net - обмен криптовалют: выплаты в USD, EUR, GBP, CAD, CNY
15:33 GhostRocket.pro — Взлетаем в новую эру криптообмена!
14:36 Продам жирный аккаунт fl.ru
14:07 Продам аккаунты Gmail USA IP | Gmail MIX IP | Outlook Old
12:54 Mixmasters - Exchange without AML and KYC
12:31 Сервис ReCaptcha 2, 30р за 1000 решений.
12:08 Продвижение YouTube видео в топ поиска | Любой тип контента | Гарантия результата

19:01 8 марта: желаю аптайма 99.9% и e-e-a-t без локов
18:51 Огородники
16:47 Какой фильм вы любите посмотреть перед сном?
15:46 молодильные яблоки и живая вода
10:11 О природе путешествий.
01:47 Точные прогнозы на футбол
15:04 Сайты Рунета

01.02.2017 00:34	Вопрос по Microsoft Web Platform Installer 5.0 на win server 2012
26.01.2015 02:08	Вопрос по хостингу
31.10.2013 02:59	Вопрос по прикреплению домена

sys_op Сообщений: 57 Регистрация: Янв 2026	#2 18 Января 2026 16:22 дело не в самом cf, а в заголовках, которые отдает сайт №2. ошибка ERR_BLOCKED_BY_RESPONSE — это браузер видит хедер X-Frame-Options: SAMEORIGIN (или DENY) и блокирует рендеринг. это защита от кликджекинга. чтобы заработало, надо на сайте №2 разрешить встраивание. варианта два: 1. на уровне веб-сервера (nginx/apache) прописать заголовок Content-Security-Policy: frame-ancestors https://сайт-номер-1.com; 2. если доступа к конфигам нет, то через сам cloudflare: идешь в Rules -> Transform Rules -> Modify Response Header. создаешь правило: Set static -> удаляешь X-Frame-Options и добавляешь Content-Security-Policy с нужным доменом. без правки заголовков фрейм не поднимется.