问题标签 [x-frame-options]

尝试在 Facebook 应用程序上将表单发送到 Facebook iframe 内的另一个域。

我有一个类似的表格：

如果我转到直接 URL 并使用表单，它会正确发送，但如果我通过 iframe 将其用作 Facebook 应用程序，则会收到此错误。

我已经看过这篇文章，但我无权访问其他域。

知道我应该怎么做吗？我是否必须联系其他域并让他们允许 iframe？

我想在 Firefox（和 Chrome）的客户端禁用 X-Frame-Option 标头。我的发现： 克服“X-Frame-Options 禁止显示” 非客户端解决方案不适合我的目的

https://bugzilla.mozilla.org/show_bug.cgi?id=707893 这似乎非常接近。我尝试使用代码 user_pref("b2g.ignoreXFrameOptions", true); 在配置文件目录中创建 user.js；但它没有用。倒数第二个条目似乎暗示用修改后的代码编译 ff？如果是这种情况，这对我来说也不是一个可能的解决方案。

我刚刚用一些 JS 编写了一个小 HTML 页面，它通过将 YouTube 视频列表依次加载到 iframe 中来循环播放它们。我知道 youtube 支持播放列表，但它们很烂，我不想下载视频。此外，如果浏览器只忽略本地文件的 X-Frame-Option 就好了。这将在某种程度上减少我通过禁用它打开的安全漏洞。至于 Chrome，一个解决方案会很好，但不是那么重要。

我猜另一种方法是拦截包含 HTTP 响应的传入 TCP/IP 数据包并删除此标头行，但这有点过头了。

[编辑] 使用 youtube.com/embed 是一个糟糕的解决方法，因为很多视频不允许嵌入......

我需要一个 iframe 脚本，我可以将它提供给我的不同客户，以便他们可以将其嵌入到他们的网站中。就像 Youtube 或 facebook 一样。

但由于跨域限制，它不会被渲染。

我已经阅读了有关 x 框架选项、跨域 ajax 调用的所有文档。

crossDomain ajax 调用的问题是我只有 JSONP 可以使用。

我已经尝试过了 - 只需转到任何 youtube 视频并获取其嵌入代码。它是一个普通的 iframe 脚本，例如 <iframe width="420" height="315" src="http://www.youtube.com/embed/7N5OhNplEd4" frameborder="0" allowfullscreen></iframe> ，如果您在 html 中注入上述脚本，它将被渲染，但是一旦您将 iframe 的 src 编辑到 youtube.com 本身，它就会变为空白。

Facebook 的 iframe 也可以在任何地方顺利渲染。

我被这件事折磨得要死。请指导我。提前致谢！

我在http://foo.example.com上有一个 iframe，它的目标是http://bar.example.com。

在http://bar.example.com上是 WordPress 安装。我可以查看该页面并单击所有页面并发布，但是当我尝试转到后端时，我得到了

并且请求被中止。

根据这个问题，我添加了这个成功发送的标头：

还有什么可以限制对仪表板（和登录屏幕）的访问？

我可以访问两个子域，也可以使用 htaccess

我通过 jQuery $.getJSON 加载了一个“页面”（由于某些原因，所有页面都编码为 JSON；然后我在函数成功时对其进行解码），其中包含一个指向另一个源的 iframe！所有代码均来自 .NET 4.0。

当我在 Firefox 上打开页面时，在控制台上我得到Load denied by X-Frame-Options. 在 chrome 上我没有任何问题。

我该如何解决这个问题？我哪里错了？

我意识到有一些方法可以直接嵌入 youtube 视频，这不是我想做的。有没有办法在 iframe 中显示网站？还是Instagram？这对于我正在尝试做的事情至关重要。

我需要从位于最顶层为 Facebook 创建的页面上的锚点打开一个 URL。做了一些研究，我发现新的 X-Frame-Options 限制正在阻止此操作，并且可能的解决方法是允许在请求者级别进行访问，即。我的应用程序。

该应用程序通过 IIS 6 托管，因此我可以轻松添加所需的自定义标头 X-Frame-Options ALLOW-FROM http://www.mywebsite.com/，但是，尝试单击时仍然收到拒绝消息我的页面中的链接。

我无法升级到更新版本的 IIS，因为营销材料已经发布。有没有其他方法可以解决这个问题，还是我在错误的位置添加了 X-Frame-Options？

另外，我的两个锚点中都有 target="_top" 。

我们使用来自 Google 的双击来跟踪 IFrame 中带有 Floodlight 标记的用户信息，但最近响应导致 Chrome 开发工具出现错误：

加载“ http://123.fls.doubleclick.net/activityi;src=123;type=123;cat=123;ord=123 ”时遇到无效的“X-Frame-Options”标头：“ALLOWALL”不是公认的指令。标题将被忽略。

这是关于此事的博客文章：http: //ipsec.pl/node/1094

看起来最近添加了 ALLOWALL 以允许任何站点将代码用作 src（类似于根本不包括该选项），并且双击在其响应中包含此选项。在 IE、Firefox 和 Chrome 中，Chrome 是唯一引发错误的浏览器。这是否意味着谷歌在双击中使用了一个在他们自己的浏览器中不起作用的选项？很难想象 Google 团队不在 Chrome 中进行测试。

在我看来，如果标题被忽略，并且标题与不包括任何跨站点限制的 X-Frame-Options 具有相同的效果，则该错误不会影响任何事情。另外，由于错误发生在响应中，对原始请求进行的跟踪应该没问题，对吧？

我是Intab的作者，这是一个 Chrome 扩展程序，可让您查看内联链接而不是新选项卡。幕后没有太多花哨的东西，它只是一个 iframe 加载用户单击的 URL。

除了将 X-Frame-Options 标头设置为 DENY 或 SAMEORIGIN 的网站外，它的效果很好。一些非常大的网站，如谷歌和 Facebook 都使用它，这使得体验有点糟糕。

有没有办法解决这个问题？由于我使用的是 Chrome 扩展程序，是否有任何我可以访问的浏览器级别的东西可能会有所帮助？寻找任何想法或帮助！