问题标签 [x-frame-options]

我在这里遇到了大麻烦。我有一个使用 Kendo UI 作为布局基础和上传的 .Net MVC 4 应用程序。上传在所有浏览器上都可以正常工作，除了在 a 上运行的 IE9 (9.0) Windows Server 2008 RC2 x64-我真的不知道这些信息是否重要。

SCRIPT5: Access Denied当 Kendo 尝试发送异步调用时，它给了我错误。根据kendo UI Foruns 中 Telerik 的成员的这篇帖子iframe，Kendo 创建了一个使之前版本的 IE10 异步上传成为可能。

我尝试在 api 的 webconfig 上添加标头：

其他标头CORS隐含设置在 api上的CORS Handler Class类似this上。

所以我可以在 IE 请求的响应标头上看到该标头，因此 IE 会检索它。我不知道对值的支持——特别是在 IE 中——ALLOW-FROM如果它接受的话*。但是我尝试使用SAMEORIGIN该标头的值，但它不起作用，我有理由这样做：我的 WebApi 与前端不在同一个地址上。他们在不同的服务器和地址。上传内容直接发送到此 url 上的 Api：

http://dev.******.com/webserviceapi/api/UserProfile/Upload

前端在：

http://dev.******.com/portal/

两个地址的 url 中的隐藏内容相同。

所以我不知道如何实现这一目标。这个错误不适合我在网上找到的任何东西。任何帮助将不胜感激！！先感谢您。

我正在尝试允许某些特定域通过 iframe 访问我的网站

我知道这可以通过将上面的行添加到 Apache 服务器的配置来完成。

这里有两个问题。

1）应该添加哪个配置文件？在 Unix 和 windows 上运行的 apache，如果不是同一个文件

2) 在启用 all-from 的同时，我仍然希望能够从我自己的域中运行一些 iframe。我可以在允许后添加以下行吗？

或者我应该在全源中添加我自己的域，即

真的需要解决这个问题。提前致谢

我正在尝试测试响应式设计。我正在使用 Rails 4。我知道它将“X-Frame-Options”设置为 SAME ORIGIN。所以我在 development.rb 中使用

它奏效了。我在 Chrome 控制台中查看了网络请求，如下所示：

但是像 responsive.is 和 responsinator.com 这样的网站仍然给我以下错误：

这是怎么回事？？

对不起，这样一个菜鸟问题，但我只是不明白这一点。我正在使用 Rails 服务器，现在我需要将它嵌入到 iFrame 中。我已经在这里和 这里看到了 如何更改 x 框架选项，但对于我的生活，我无法找到我需要实际去哪里执行此操作。我不确定我是否需要将它粘贴在我的应用程序配置文件、rails 配置文件中的某个位置（这对我来说似乎不太可能），但我显然忽略了一些东西。

（我不知道这是否有必要知道，但我正在运行 Ruby 1.9.3 和 rails 4.0）

一如既往; 提前感谢大家。

我在 Facebook 中工作（使用 Koala gem），最后不得不处理更改密码的用户。虽然这可能不是最好的交互，但我的应用程序会捕获身份验证更改并为用户提供一个链接以单击以重新授权。点击链接正确命中 FB 和重定向传递预期的 auth_code。但是，响应 FB 重定向而传递的页面返回时 X-Frame-Options 设置为 DENY，结果用户永远不会看到重新身份验证结果。

我不知道为什么 X-Frame-Options 设置为 DENY。

我尝试在 Rails (3.2.6) 应用程序中将 X-Frame-Options 设置为 SAMEORIGIN，方法是将以下行添加到操作中：

没运气。

我还尝试通过 Apache 调整响应标头。我已经尝试为整个站点设置 X-Frame-Header 以及定位可能受到影响的特定 url。当前配置如下所示（已编辑）：

我在这里的尝试是强制 X-Frame-Options 为 xx.xx.com/publisher/new 和 xx.xx.com/publisher/revalidate 的 SAMEORIGIN。除了当前配置之外，我还尝试了针对各个 URL 的单独 Location 和 LocationMatch 块。我还尝试使用未设置的 Header（而不是设置）来删除 X-Frame-Options，但是它正在被设置。

据我所知，这些是应用程序中唯一将 X-Frame-Options 标头设置为 DENY 的 url。

想法？

Rails 4 似乎SAMEORIGIN为X-Frame-OptionsHTTP 响应标头设置了默认值。这对安全性很有好处，但它不允许您的应用程序的某些部分在iframe不同的域中可用。

您可以使用以下设置覆盖X-Frame-Options全局的值config.action_dispatch.default_headers：

但是你如何为单个控制器或动作覆盖它呢？

某些网站不允许通过 iframe 嵌入。他们产生以下错误：

我们的应用程序允许用户提交 URL。我们想在服务器端检查网站是否可以嵌入 iframe 并添加相应的标志。在客户端上，我们检查标志，然后嵌入 iframe 或仅提供指向网页的直接链接。

如何检查网站是否支持 iframe？

我想将 iTunes 连接门户嵌入到我正在构建的客户 Web 应用程序的 iFrame 中。

Q1。有没有人做到这一点，如果是这样怎么办？Q2。当我尝试过时，我得到：

拒绝显示文档，因为 X-Frame-Options 禁止显示。

任何帮助都会很棒，我正在努力让我的客户更轻松地访问应用程序购买中的设置。

我怎样才能让我的网站被框起来： http: //myDomain.com；我的网站有不同的网址；所以

不工作和

并非所有浏览器都支持；感谢您的帮助;

我正在尝试在仅包含 iframe 的简单 HTML 页面中显示 Facebook 页面。

这是我的 HTML 代码：

我总是在 Google Chrome 的控制台中收到此错误：

拒绝在框架中显示“ http://www.facebook.com/ ”，因为它将“X-Frame-Options”设置为“DENY”。

顺便说一句，我对这些 iframe 也有这个问题：

同时，这个 iframe 运行良好！

如何解决这个问题？

根据评论进行编辑：
如果无法解决，是否有使用 iframe 的替代方法？类似browser标签的东西XUL？我已经在 Firefox 扩展中尝试过浏览器标签并且效果很好，但是我现在正在编写一个 chrome 扩展，所以我不能再依赖 XUL 了吗？