问题标签 [x-frame-options]

I'm writing a chrome extension that like intab loads links in an inline iframe, it works great except for sites that set the X-Frame-Options header to DENY or SAMEORIGIN.

In this Question a working solution provided for the case where the HTTP header contains X-Frame-Options property. But, X-Frame-Options can also be set in a element in the HTML .

Is there a way to remove this element before it's being loaded by chrome?

在我寻找答案的过程中，我只找到了关于问题是什么的线索，没有找到可行的解决方案，或者有类似问题的人。

当我在 facebook 之外浏览我的应用程序时，我可以毫无问题地进行身份验证，并且所有 facebook 交互都可以正常工作。当我在页面选项卡中安装我的应用程序时，由于以下错误，我无法进行身份验证：

拒绝在框架中显示“ https://www.facebook.com/dialog/oauth?client_id=175164365974824&redirect_ur …er%2F&state=6790b76872277c825f5bb749ed167152&scope=publish_actions%2Cemail”，因为它将“X-Frame-Options”设置为“DENY”。

我可以从中得到的是，facebook 不允许它的身份验证页面显示在我的页面选项卡 iframe 中。

如何让用户在我的页面选项卡中通过身份验证并在身份验证后重定向到我的页面选项卡？（我不希望将我的应用程序用作独立网站）。

其他重要信息：我正在使用 PHP SDK 进行身份验证和获取用户数据。

我正在托管一个通过 Apache 使用 Dreamweaver CS6 创建的网页。单击某些链接时，它们将不会加载。在 Chrome 中检查元素会发现其中一个无效链接出现以下错误：

拒绝在框架中显示“ http://www.youtube.com/watch?v=yA-Eb_PD4SQ ”，因为它将“X-Frame-Options”设置为“SAMEORIGIN”。

有趣的是，如果右键单击并在新选项卡或窗口中打开链接，它将加载。仅供参考，我对 html 和 CSS 知之甚少。

*为澄清而编辑：我如何告诉我的网站或 Apache 不要在框架中打开这些链接，以便它们可以工作？

（这是我几天前问的一个未回答的问题。它被关闭是因为它被认为不清楚。我更新了问题并给模组发了消息，但它仍然关闭，所以我再次询问。抱歉冗余。）

我正在托管一个通过 Apache 使用 Dreamweaver CS6 创建的网页。单击某些链接时，它们将不会加载。在 Chrome 中检查元素会发现其中一个无效链接出现以下错误：

拒绝在框架中显示“ http://www.youtube.com/watch?v=yA-Eb_PD4SQ ”，因为它将“X-Frame-Options”设置为“SAMEORIGIN”。

有趣的是，如果右键单击并在新选项卡或窗口中打开链接，它将加载。仅供参考，我对 html 和 CSS 知之甚少。

如何告诉我的网站或 Apache 不要在框架中打开这些链接，以便它们可以工作？

我明白这个错误是无法克服的。

但我想做的是，当我遇到无法嵌入的页面时，页面只是作为弹出窗口加载。当前发生的是我被重定向到该页面。

对于无法嵌入的页面，我在 chrome 中看到以下错误。

在我的应用程序中，我有一个 iframe 可以打开任何网页（99% 的时间都是同源的）。但是用户可以点击 iframe 内的链接并访问外部网站。我设法检测到该网站是否具有相同的来源，但是对诸如“ https://www.google.ca/ ”之类的网站的请求会引发以下错误：

拒绝在框架中显示“ https://www.google.ca/ ”，因为它将“X-Frame-Options”设置为“SAMEORIGIN”。

我有一个绑定到我的 iframe 的 beforeunload、onerror 和 onload 事件，但我无法用事件对象处理这个安全问题。

我正在尝试将 X-Frame-Options 标头（值设置为“DENY”）添加到我的 MVC 4 应用程序中。我环顾四周，似乎这是为所有页面添加的最干净的方法。

但是，当我添加此代码时，它不会构建。OnResultExecuting出现错误

“没有找到合适的方法来覆盖。”

如果这是最干净的方法，我该如何解决这个错误？在 MVC 4 应用程序中是否有更好的方法来处理这个问题？

我发现这不起作用：

我已经阅读了这个问题，但我不明白他们所说的添加是什么意思：

我尝试将其添加到我的 html 文件的顶部（当然，将其更改为 php 文件），我的 php 文件变为：

我在我的 appserv（使用 php 5.2.6）中运行它，但它不起作用。谁能解释我应该怎么做才能克服这个问题？

我正在尝试在客户的网站上嵌入 Google 地图。

这是我使用的嵌入代码，它是从嵌入它的页面的视图源中复制而来的。我按照此页面http://maps.google.ca/help/maps/getmaps/plot-one.html的说明进行操作

我收到错误消息（Chrome 开发人员工具、控制台）阻止了具有来源“ http://maps.google.com ”的框架访问具有来源“http 链接此处”的框架。协议、域和端口必须匹配。”并且没有地图显示。

有趣的是，当我将其粘贴到文本文档中并将其保存为 HTML 并在 Chrome 中打开时，地图将显示，但我在开发工具中仍然遇到相同的错误（除了原点为空）。

该应用程序是 php，我已经尝试了 remove_header(); 选项，它没有改变任何东西，我确保 iframe 中的链接包含 output=embed。

我试过 FF、Chrome 和 IE 10，结果都一样。

这是相关页面的链接。（不能发IP地址链接） 198 dot 154 dot 220 dot 143/contact/

假设我的 Web 应用程序使用 CSRF 令牌免受 CSRF 攻击，此外，它使用 SSL 并受到 XSS 攻击的保护。此外，出于这个问题的目的，假设它仅用于最近的浏览器并且它们没有错误。我可以使用 X-Frame-Options:Deny 标头来防止基于帧的点击劫持，但我看不出它会提供什么额外的保护，因为任何基于帧的表单提交都将缺少 CSRF 令牌。（并且同源策略可以防止 CSRF 令牌被攻击者的 JavaScript 发现。）问题：

1. 是否存在其他不基于帧的点击劫持？（即，是 X-Frame-Options:Deny 不是完整的点击劫持防御吗？）

2. 在没有 X-Frame-Options:Deny 标头的情况下，考虑到上述假设，点击劫持攻击是否仍有可能成功？

（我问这个不是因为我想防止基于帧的点击劫持，因为我确实包含了 X-Frame-Options:Deny 标头。相反，我试图了解点击劫持攻击的范围。）