问题标签 [x-frame-options]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
redirect - 使用 HTTP 重定向尊重 X-Frame-Options
我正在另一个域上使用这样的简单页面测试点击劫持缓解:
我的登录页面发送以下标题:
我很惊讶地看到 IE 10 和 Chrome 33 都遵循重定向并在<iframe>
. 我的登录页面没有发送X-Frame-Options
,但我希望X-Frame-Options
登录页面上的第一个胜过重定向。当我的登录页面显示在框架中时,如何防止浏览器跟随重定向?
<iframe>
如果登录页面没有发送 HTTP 重定向,我应该补充一点,事情会按预期工作(为空/被阻止)。
javascript - 具有冲突值的多个“X-Frame-Options”标头
更新:这适用于 IE,但 Chrome 仍然抛出此错误。 我正在尝试通过我拥有的另一个网站对我拥有的网站进行 i-frame。这是我在 Chrome 上的 JS 控制台中收到的错误消息:
我没有在任何地方设置这个,我在所有地方都搜索了 SAMEORIGIN。
主站点是 www.mysite.com,另一个站点是 subdomain.mysite.com。显然同源政策阻止我这样做。因此,我将 subdomain.mysite.com 上的 X-Frame-Options 标头设置为“AllowAll”。在开始请求方法上,我添加了这个:
在页面级别我添加了这个:
在Javascript中我添加了这个:
我要尝试的东西不多了...在此先感谢您的帮助。
azure - Azure Web 角色 X 框架选项
我有一个由 azure 作为 Web 角色托管的 Web 应用程序。该应用程序安装在两个子域,QA 和 Production,QA 环境的 X-Frame-Options 设置为拒绝,但生产环境没有。
目前,每个环境都部署了相同的代码,因此它必须是一个配置选项。我在 Web 应用程序中找不到设置 XFO 标头的任何位置。还可以在哪里设置配置?
javascript - Google Drive API,无法通过 JS 打开标准共享对话框(x-frame-options 错误)
我有一个使用 Google Drive API 的 JavaScript 应用程序。我在这里阅读了如何打开标准共享对话框:https ://developers.google.com/drive/web/manage-sharing
似乎我做的一切都是正确的,当我单击我的share
按钮时,对话框开始加载但无法加载。
在控制台中我看到:
我用谷歌搜索了这个错误,我发现在 SO 和其他网站中有一些类似的问题,但它们没有帮助。我猜谷歌不允许自己在非谷歌网站的框架中(因为“SAMEORIGIN”)。
如何在我的应用程序中打开共享对话框?
jquery - 即使使用 jquery,网站也没有在 iframe 上显示
我正在使用此代码http://www.solstas.com/find-a-location/
显示iframe
而这段代码使用jquery:
但它没有显示任何东西,我尝试了其他网站然后它工作。有人说这可能是因为该站点设置了 X-Frame-Options。
请帮忙。
javascript - 错误:访问属性“文档”的权限被拒绝
"Error: Permission denied to access property 'document'"
当我已经在我的定义中X-FRAME options
允许其他域时,我不断收到错误,就像这样..
下面是 iframe 请求的标头,清楚地表明我已定义允许域访问 iframe 但不工作。我想要的只是使用 javascript 调整 iframe 的大小。
这是我调整 iframe 高度大小的 javascript 代码。
我怎样才能做到这一点?请建议。
html - 'X-Frame-Options' 到 'SAMEORIGIN' 问题的通用解决方案
我正在尝试http://teeSpring.com/
在 iframe 中打开。它正在抛出Refused to display 'http://teespring.com/' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.
错误。
我已经经历了多个答案,但没有一个对我有用。大多数解决方案都特定于 google-maps、facebook 或 youtube 视频。
这是我的代码:
我确实使用target="_blank"
过,但没有运气。
注意:尝试打开第三方页面。所以我无法控制添加标题或其他元数据。
iframe - X-Frame-Option 标头和级联 iframe
我有一个 UI 场景,其中有两个 iframe。一个 iframe 有另一个 iframe,并且都显示来自同一域(例如 DOMAIN_1)的内容。外部 iframe 托管的是其他域的网页(例如 DOMAIN_2)。
总之,我有
托管的 DOMAIN_2 网页
托管的 DOMAIN_1 的 iframe(外部)
DOMAIN_1 的 iframe(内部)。
问题:我没有为外部 iframe 设置 X-Frame-Option 标头,它可以在 DOMAIN_2 网页中按预期工作。我应该为内部 iframe 的 X-Frame-Option 标头设置什么值?我尝试将其设置为 SAMEORIGIN,因为内部 iframe 和外部 iframe 具有相同的域,但这不起作用。这是预期的吗?
c# - XFrameOptionsHeader - MVC 5 区域特定设置
我正在尝试为我的应用程序中的 X-Frame-Options 标头创建特定于区域的行为。
我有一个具有以下结构的 MVC 5 项目:
- MVC结构的“根”中的几个WebApiController
- 两个“区域”——一个用于我的主站点(称为“应用程序”),一个用于书签(称为“书签”)
“应用程序”是我的应用程序的主要区域。每当用户单击书签时,“书签”会导致页面出现在 iFrame 中(无论他们在哪个站点上)。
我希望 API 和“应用程序”区域受 X-Frame-Options 标头保护,但 Bookmarklet 不能有此标头,因为它的目的是显示在任何网站的 iframe 内(用户单击小书签,它会打开 iframe 并预填充一个表单以保存当前页面的标题和 URL - 将其视为“添加到收藏夹”功能,可将您喜欢的链接保存在应用程序中)。
我目前在 Global.asax 中使用以下内容:
不幸的是,这会抑制所有区域的 X-Frame-Options 标头。有没有办法将此行为专门应用于书签区域而不是应用程序的根或其他区域?
请注意,我知道与打开 X-Frame-Options 相关的点击劫持安全风险。我试图通过将登录功能放置在网站的“应用程序”区域(我想用 X-Frame-Options 保护)来降低这种风险。“书签”功能(不能被 X-Frame-Options 保护,因为它可以从用户访问的任何站点打开)因此只包含有限的数据输入。
asp.net - 在 MVC3 或 IIS 7.5 中禁用 x-frame-options
我想在我的网站中禁用 x-frame-options,我希望没有其他网站可以使用 iframe 在他们的网页中显示我的网页。我的网站是用 ASP.net MVC3 制作的,托管在 IIS 7.5 中。