问题标签 [x-frame-options]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
spring - 如何将 X-Frame-Options 添加到 Spring Security 3.2 中的一些响应中
我想将 X-Frame-Options 标头添加到我的 Spring 应用程序中除某些页面之外的所有页面。<headers> <frame-options /> </headers>
Spring Security 3.2 提供了很好的功能,可以通过配置将该标头添加到所有响应中。
但是是否可以从某些路径中排除此标头?我考虑过子类化XFrameOptionsHeaderWriter
并在里面做一些路径正则表达式匹配,但看起来有点难看。也许有更方便的方法来完成这个?
content-security-policy - CSP 中的多个帧祖先被 X FRAME 选项覆盖
我在为我的 UI 设置安全策略时遇到了一些问题,这些问题可以由多个站点构成。我正在使用多个框架祖先设置 CSP 策略。添加 XFrame 选项是强制性的,因此如果我将其留空,则渲染所有 UI 的父类将添加与 CSP 框架祖先相矛盾的 XFO SAMEORIGIN。
一种选择是使用 ALLOWALL,但没有得到广泛支持。有没有其他方法可以设置 X Frame 选项但允许来自多个 Uris?
asp.net - 在 asp.net 开发服务器中显示 X-Frame-Options: header
当我在 Windows Azure 中运行我的应用程序时,我可以X-Frame-Options
在标题中看到 。当我在 asp.net 开发服务器(在本地主机上)中运行它时,我无法查看该标头。
如何使应用程序X-Frame-Options
在 asp.net 开发服务器(在 localhost 上)中运行时包含标头?
本地开发服务器输出:
javascript - 如何在 iframe 上设置“X-Frame-Options”?
如果我创建一个iframe
这样的:
如何修复错误:
拒绝
'https://www.google.com.ua/?gws_rd=ssl'
在框架中显示,因为它将“X-Frame-Options”设置为“SAMEORIGIN”。
用JavaScript?
php - 如何克服:“X-Frame-Options DENY 禁止显示”?
我创建了一个提供(Facebook/twitter/Google+)登录的应用程序,一切正常。但是当我想通过 iframe 将我的应用程序嵌入到另一个网站时,我发现了这个异常:
[错误] 拒绝显示' https://www.facebook.com/dialog/oauth?client_id=XXXXXX&state=XXXX&scope=email&redirect_uri=http%3A%2F%2Fwww.XXXXX.net%2FListeningParty%2Fconnect_facebook.php%3Finit%3D1 %26appId%3D5000 ' 在一个框架中,因为它将 'X-Frame-Options' 设置为 'DENY'。(connect_facebook.php,第 0 行)
我知道 facebook 出于安全问题而阻止它,但有没有办法克服这个问题?我使用 facebook 的 php-sdk
single-sign-on - 拒绝在框架中显示,因为它将 X-frame-options 设置为 DENY?
我正在使用 Microsoft 登录在我的项目中使用 Single sing 现在我正在尝试在此站点上使用 yammer 嵌入,但它给出了以下错误。
拒绝显示 https://login.microsoftonline.com/common/oauth2/authorize?client_id=xxxx&login_hint=&nonce=xxxx&nux=1&prompt=none&redirect_uri=https%3A%2F%2Fpersona.yammer.com%2F office_sessions%3Fon_error%3Dhttps%3A%2F%2Fwww.yammer.com%2Fplatform_embed%2Foffice_login_error&response_mode=query&response_type=id_token&scope= =xxxx&state=xxxx在一个框架中,因为它将“X-Frame-Options”设置为“DENY”
任何人都可以帮我解决这个问题。
same-origin-policy - IE7 X-Frame-Options 的替代方案
我一直在尝试通过添加各种功能来使我的应用程序更加安全,其中之一是防止点击劫持。我已成功将 X-frame-options 添加到响应标头中,但经过更多研究后,我注意到此选项在 IE7 中不可用。因此,我可以为 IE7 做些什么呢?
spring-security - 允许网页在 HTML 框架内呈现
我有两个 Web 应用程序:Web 应用程序 (web-app) 和报表 Web。我想在<iframe>
. 所以它被浏览器拒绝并出现错误:
X-Frame-选项:拒绝
有什么帮助吗?
html - X-Frame-options 也适用于本地文件吗?
我在网络浏览器中加载了一个 html 文件(“file://...”):在这个文件中有一个<iframe>
. 在这个 iframe 中,我必须加载一些远程内容。我知道我将加载的内容受X-Frame-Options
HTTP 响应标头保护,该标头可用于指示是否应允许浏览器在<frame>
,<iframe>
或<object>
.
问题很简单:即使我在本地将页面加载为文件,X-Frame-Options HTTP 标头也能正常工作吗?
php - 当我收到带有 X-Frame-Options:SAMEORIGIN 的 http 响应标头时,是否需要使用任何特殊选项在 php 中准备 curl?
要在单独域的服务器上检索成功的时钟登录,当我收到带有 X-Frame-Options:SAMEORIGIN 的 http 响应标头时,是否需要在 php 中准备 curl 以及任何特殊选项?
这是我到目前为止所拥有的: