问题标签 [x-frame-options]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
1484 浏览

spring - 如何将 X-Frame-Options 添加到 Spring Security 3.2 中的一些响应中

我想将 X-Frame-Options 标头添加到我的 Spring 应用程序中除某些页面之外的所有页面。<headers> <frame-options /> </headers>Spring Security 3.2 提供了很好的功能,可以通过配置将该标头添加到所有响应中。

但是是否可以从某些路径中排除此标头?我考虑过子类化XFrameOptionsHeaderWriter并在里面做一些路径正则表达式匹配,但看起来有点难看。也许有更方便的方法来完成这个?

0 投票
1 回答
788 浏览

content-security-policy - CSP 中的多个帧祖先被 X FRAME 选项覆盖

我在为我的 UI 设置安全策略时遇到了一些问题,这些问题可以由多个站点构成。我正在使用多个框架祖先设置 CSP 策略。添加 XFrame 选项是强制性的,因此如果我将其留空,则渲染所有 UI 的父类将添加与 CSP 框架祖先相矛盾的 XFO SAMEORIGIN。

一种选择是使用 ALLOWALL,但没有得到广泛支持。有没有其他方法可以设置 X Frame 选项但允许来自多个 Uris?

0 投票
1 回答
1417 浏览

asp.net - 在 asp.net 开发服务器中显示 X-Frame-Options: header

当我在 Windows Azure 中运行我的应用程序时,我可以X-Frame-Options在标题中看到 。当我在 asp.net 开发服务器(在本地主机上)中运行它时,我无法查看该标头。

如何使应用程序X-Frame-Options在 asp.net 开发服务器(在 localhost 上)中运行时包含标头?

本地开发服务器输出:

0 投票
14 回答
870038 浏览

javascript - 如何在 iframe 上设置“X-Frame-Options”?

如果我创建一个iframe这样的:

如何修复错误:

拒绝'https://www.google.com.ua/?gws_rd=ssl'在框架中显示,因为它将“X-Frame-Options”设置为“SAMEORIGIN”。

用JavaScript?

0 投票
0 回答
865 浏览

php - 如何克服:“X-Frame-Options DENY 禁止显示”?

我创建了一个提供(Facebook/twitter/Google+)登录的应用程序,一切正常。但是当我想通过 iframe 将我的应用程序嵌入到另一个网站时,我发现了这个异常:

[错误] 拒绝显示' https://www.facebook.com/dialog/oauth?client_id=XXXXXX&state=XXXX&scope=email&redirect_uri=http%3A%2F%2Fwww.XXXXX.net%2FListeningParty%2Fconnect_facebook.php%3Finit%3D1 %26appId%3D5000 ' 在一个框架中,因为它将 'X-Frame-Options' 设置为 'DENY'。(connect_facebook.php,第 0 行)

我知道 facebook 出于安全问题而阻止它,但有没有办法克服这个问题?我使用 facebook 的 php-sdk

0 投票
1 回答
2664 浏览

single-sign-on - 拒绝在框架中显示,因为它将 X-frame-options 设置为 DENY?

我正在使用 Microsoft 登录在我的项目中使用 Single sing 现在我正在尝试在此站点上使用 yammer 嵌入,但它给出了以下错误。

拒绝显示 https://login.microsoftonline.com/common/oauth2/authorize?client_id=xxxx&login_hint=&nonce=xxxx&nux=1&prompt=none&redirect_uri=https%3A%2F%2Fpersona.yammer.com%2F office_sessions%3Fon_error%3Dhttps%3A%2F%2Fwww.yammer.com%2Fplatform_embed%2Foffice_login_error&response_mode=query&response_type=id_token&scope= =xxxx&state=xxxx在一个框架中,因为它将“X-Frame-Options”设置为“DENY”

任何人都可以帮我解决这个问题。

0 投票
1 回答
458 浏览

same-origin-policy - IE7 X-Frame-Options 的替代方案

我一直在尝试通过添加各种功能来使我的应用程序更加安全,其中之一是防止点击劫持。我已成功将 X-frame-options 添加到响应标头中,但经过更多研究后,我注意到此选项在 IE7 中不可用。因此,我可以为 IE7 做些什么呢?

0 投票
3 回答
22605 浏览

spring-security - 允许网页在 HTML 框架内呈现

我有两个 Web 应用程序:Web 应用程序 (web-app) 和报表 Web。我想在<iframe>. 所以它被浏览器拒绝并出现错误:

X-Frame-选项:拒绝

有什么帮助吗?

0 投票
1 回答
768 浏览

html - X-Frame-options 也适用于本地文件吗?

我在网络浏览器中加载了一个 html 文件(“file://...”):在这个文件中有一个<iframe>. 在这个 iframe 中,我必须加载一些远程内容。我知道我将加载的内容受X-Frame-OptionsHTTP 响应标头保护,该标头可用于指示是否应允许浏览器在<frame>,<iframe><object>.

问题很简单:即使我在本地将页面加载为文件,X-Frame-Options HTTP 标头也能正常工作吗?

0 投票
0 回答
784 浏览

php - 当我收到带有 X-Frame-Options:SAMEORIGIN 的 http 响应标头时,是否需要使用任何特殊选项在 php 中准备 curl?

要在单独域的服务器上检索成功的时钟登录,当我收到带有 X-Frame-Options:SAMEORIGIN 的 http 响应标头时,是否需要在 php 中准备 curl 以及任何特殊选项?

这是我到目前为止所拥有的: