问题标签 [x-frame-options]

我公司的登录名与 Google 相关联，当用户访问此处时 - http://api.radiumcrm.com/sessions/new我们会向他们展示 Google Account Picker 页面。

我正在尝试允许用户通过我们公司的 chrome 扩展程序通过 IFRAME 选择他们的帐户并登录。当我在 IFRAME 中尝试此 URL 时，我收到此错误 -

Refused to display 'https://accounts.google.com/AccountChooser?service=lso&continue=https%3A%2F…57%26from_login%3D1%26hl%3Den%26as%3D-7f65cece530df7dd&btmpl=authsub&hl=en' in a frame because it set 'X-Frame-Options' to 'DENY'.

我知道谷歌可能出于安全原因这样做，但有什么好的解决方法吗？

我们的网站目前无法避免点击劫持，所以我进入了web.config并添加了

这是非常直接的代码。我的问题是它不起作用。我的问题是：

1. 有没有办法让我查看是否X-Frame-Options在标头响应中？我用 httpfox 寻找它并没有得到任何东西，所以我无法验证它web.config是否真的将东西放在标题中。
2. 为什么这不起作用？我可以做些什么来测试或继续前进？

我确实尝试将它添加到方法中的Global.asax中Application_Start，但是当我调试时我似乎无法“命中”这个方法；它没有达到断点。

我想补充一点，我已尝试将其直接添加到 head 标签中，并且我也尝试将其添加到 meta 标签中，如下所示

所以首先，我必须说我看到了： Detect X-Frame-Options

但我没听懂，我试图关注但我不知道如何发送 AJAX 请求。

所以在我坐下来尝试学习之前，我想知道是否可以通过使用诸如 firebug/burp suite/tamper date 等工具来检查值是多少？

本质上，我想做的就是能够进入几个网页（一个接一个）并能够立即知道 X-frame-options 的价值是什么

谢谢你。

我正在使用 Django XFrameOptionsMiddleware 来控制点击劫持，但我有一个客户需要能够从他们的网络中浏览 iframe 中的应用程序。我希望能够从视图方法中应用（或删除） xframe_options_exempt 装饰器。

我使用 ADFS 2.0 作为使用 asp.net mvc2 和 SQL Server 2012 开发的应用程序的身份验证过程。为了解决这个问题：点击劫持（又名跨站点框架或 XSF），我们设置了 X-Frame- web.config 文件中值为 DENY 的选项。

重现步骤： 1. 使用 Chrome 浏览器使用有效凭据登录应用程序。2.系统向我显示应用程序登陆页面。3. 点击 F12 打开开发者工具选项。4. 现在单击注销选项并导航到控制台窗口。5. 系统显示 ADFS Signout 页面，但我仍然在控制台窗口中收到错误，如下所述：

拒绝在框架中显示“ https://mytestwebsite.com/?wa=wsignoutcleanup1.0 ”，因为它将“X-Frame-Options”设置为“DENY”。

在检查 ADFS Sognout 页面的 ViewSource 时，我看到以下内容：

谁能建议我解决上述问题的最佳方法？

我正在尝试在 IFrame 中嵌入 3D 安全和网上银行页面，并且我能够在我测试过的几个网站上成功实现它。但我怀疑是否所有银行页面都会在 IFrame 中打开。

如果任何银行将 x-frame-otpions 设置为 SAMEORIGIN 或 DENY 怎么办？

尝试搜索有关此的技术规范，但找不到任何东西。
验证银行应该/不应该使用此标头是否存在通用的经验法则或约定（在任何规范中）？我如何相信这是否适用于所有银行？
任何澄清都会有很大帮助。

PS：我知道还有其他方法可以打开授权网关。但是，我仍然需要澄清这种方法。

在我的 express 应用程序中，在 dev.example.com 上运行，我有这一行：

在 example.com:9000 上运行的另一个快速应用程序上，我在 iframe 中有页面（索引）：

但是，当我访问 example.com/ 时，会出现一条错误消息：

我试过了：

它们都不起作用。任何想法？

我需要在我的 Angular 应用程序中显示几个 iframe。

为此，我的 HTML 就像

但是当 iframe 中不允许 iUrl 时，即 X-Frame-Options:SAMEORIGIN 或 DENY

然后我的IFrame不来，自然不来。

但是当 Iframe 无法正确加载时，我想显示替代文本。像 Image 标签有和 alt 属性。

当 Iframe 无法加载时，我需要一些方法来显示替代文本。

AngularJS 和纯 JavaScript 解决方案是最需要的。

提前致谢。

在我正在处理的 Ruby on Rails 4 应用程序中，我需要创建一个页面，该页面将被拉入托管在foo.bar.com服务器上的 iframe 中，所以我有这个控制器方法：

..现在事实证明，客户也希望我也加入白名单http://foo.dev.bar.com。

我知道要设置 X-FRAME-OPTIONS，“ALLOW-FROM”选项不允许多个子域。但是既然这是同一个根域，有不同的子域，会不会更灵活一点呢？例如，我可以做类似的事情

也？

我有一个 .Net Web 应用程序，其中使用了一些 iframe 和框架集。为了保护我的站点免受跨帧脚本攻击，我计划在我的 IIS 或 Global.asax 中添加一个值为“SAMEORIGIN”的 HTTP 响应标头“X-Frame-Options”。这是我指的文章：

http://blogs.microsoft.com/cybertrust/2009/02/05/clickjacking-defense-in-ie8/

但是，可能存在这样一种情况，我实际上想在 iframe 内的特定页面上显示来自不同域的网页。那么，是否可以将“仅针对该页面”的“X-Frame-Options”标头的设置覆盖为“ALLOW-FROM”并指定我要允许的站点？如果是，那么我该怎么做？如果我覆盖此页面的设置，这也会改变我的全局设置值吗？