问题标签 [x-frame-options]

我正在开发一个网页，该网页需要在 iframe 中显示由另一家公司的 SharePoint 服务器提供的报告。他们对此很好。

我们试图在 iframe 中呈现的页面给了我们 X-Frame-Options: SAMEORIGIN 导致浏览器（至少 IE8）拒绝在框架中呈现内容。

首先，这是他们可以控制的事情，还是 SharePoint 在默认情况下所做的事情？如果我要求他们关闭此功能，他们甚至可以这样做吗？

其次，我可以做些什么来告诉浏览器忽略这个 http 标头并只渲染框架吗？

我尝试将 X-FRAME-OPTIONS 放入 http 标头以防止 Clickjacking 攻击。如果我像这样在 httpd.conf 或 .htaccess 文件中设置标题，它就可以工作。

但是有几个地方在我自己的网站上使用 iFrame，如果我这样做，它也会阻止我自己网站上的 iFrame。所以我尝试为我自己的网站添加一个例外。检查请求是否来自我自己的网站，然后在页面上允许 iFrame。我试过这个，但它没有用。

有人可以帮我解决这个问题吗？

我将在下面描述我的具体案例，但这可能对许多 web-mashup 有用。

我的 Web 应用程序通过填写表单然后提交（通过 javascript）发布到 Twitter。表单的target设置为iframe具有onload触发器的。当onload调用触发器时，应用程序知道 POST 已完成。

这在 Chrome 版本 11 之前工作正常，现在尊重X-Frame-Options=SAMEORIGINTwitter 在 POST 响应中发送的内容。POST 通过，但iframe's onload不再调用。

它在 Firefox 4 中仍然有效，但我想这是一个最终会得到修复的错误。

有没有其他方法可以知道 POST 的状态？我知道知道 POST 响应的内容会违反安全策略，但我对内容不感兴趣。我只想在 POST 完成时通知应用程序。

我有一个 django 模板，它显示带有 youtube 视频的对象列表：

obj.video存储为 urlField。当我加载页面时，chrome 控制台给了我错误refused to display document because display forbidden by x-frame-options。

如果我{{ obj.video }}用手动编写的 youtube 嵌入 url 替换，问题仍然存在，例如http://youtu.be/zzfQwXEqYaI. 但是，如果我用 iframe 之类的东西替换它，www.google.com就会加载。

我正在编写一个小网页，其目的是构筑其他一些页面，只是将它们合并到一个浏览器窗口中以便于查看。我试图框住的一些页面禁止被框住并抛出“拒绝显示文档，因为 X-Frame-Options 禁止显示”。Chrome 中的错误。我知道这是一个安全限制（有充分的理由），并且无权更改它。

是否有任何替代框架或非框架方法可以在不会被 X-Frame-Options 标题绊倒的单个窗口中显示页面？

我的支付系统不会重定向到贝宝，因为错误：“拒绝显示文档，因为 X-Frame-Options 禁止显示。” 表单已发布并生成了正确的重定向 url，但 paypal 查询没有返回响应：

这会正确重定向到下一个查询： https ://www.sandbox.paypal.com/webscr&cmd=_express-checkout&token=xxx

这显示没有响应： https ://www.sandbox.paypal.com/us/cgi-bin/webscr?cmd=_flow&SESSION=xxx&dispatch=xxx

如果我将第一个查询剪切并粘贴到浏览器中，它会重定向到 paypal，但是当从应用程序（在 Chrome 中）运行时，我会收到 X-Frame-Options 错误。（或在 Firefox 中，什么都没有）

我正在使用 Sinatra 返回一些 IFRAME 内容，并且我想允许跨域 src。不幸的是，Sinatra 会自动在我的回复中添加一个 X-Frame-Options 标头。我该如何关闭它？

由于 X-Frame-Options 标头，有什么好的方法可以检测页面何时不会显示在框架中？我知道我可以请求页面服务器端并查找标头，但我很好奇浏览器是否有任何机制来捕获此错误。

如果网页使用了这个问题中提到的 frame-buster buster ，或者X-Frame-Options: deny像 stackoverflow.com 这样更强大的网页，我该如何停止加载网页？我正在创建一个具有将外部网页加载到<iframe>通过 javascript，但如果用户不小心进入了 google.com 或 stackoverflow.com 之类的网站，这些网站具有破坏帧破坏器的功能，我只想退出加载。在 stackoverflow.com 中，它显示一条弹出消息，要求禁用框架并继续，但我宁愿停止加载页面。在谷歌中，它会在不询问的情况下删除框架。我绝对没有点击劫持的意图，目前，我只自己使用这个应用程序。每次我踏入此类网站时，框架都会损坏，这很不方便。我只是不需要继续加载这些页面。

编辑

到目前为止看到答案，似乎在加载之前我无法检测到这一点。那么，是否可以将页面加载到不同的选项卡中，然后查看它是否没有 frame-buster buster，如果没有，则将其加载到<iframe>原始选项卡中？

编辑 2

我还可以通过我正在使用的脚本语言 (Ruby) 将标题或网页作为 html 字符串来实现。所以我认为我确实可以在将信息加载到<iframe>.

我正在使用“谷歌查看器”查看一些文档。唯一的问题是，如果浏览器的 google-login 处于“limbo”状态，它什么也不显示，并且“拒绝显示文档，因为 X-Frame-Options 禁止显示”。发生错误并显示在控制台中。

我所说的“limbo”是指已知登录但用户必须重新输入密码以重新验证自己的情况。

是否有一种方法可以检测何时发生此错误，以便我可以显示弹出错误以通知用户？

提前致谢。