Questions tagged «x-frame-options»

26
克服“ X框架选项禁止的显示”
我正在写一个很小的网页,其目的是对其他页面进行构架,只是将它们合并到一个浏览器窗口中,以便于查看。我试图框住的几页禁止被框住,并抛出“拒绝显示文档,因为X-Frame-Options禁止显示”。Chrome中的错误。我了解这是一个安全限制(有充分的理由),并且无权对其进行更改。 是否有任何其他成帧或非成帧方法可以在单个窗口中显示不会被X-Frame-Options标头绊倒的页面?

13
如何在iframe上设置“ X-Frame-Options”?
如果我创建iframe这样的: var dialog = $('<div id="' + dialogId + '" align="center"><iframe id="' + frameId + '" src="' + url + '" width="100%" frameborder="0" height="'+frameHeightForIe8+'" data-ssotoken="' + token + '"></iframe></div>').dialog({ 我该如何解决错误: 拒绝显示'https://www.google.com.ua/?gws_rd=ssl'在框架中,因为它将“ X-Frame-Options”设置为“ SAMEORIGIN”。 使用JavaScript?

6
如何在Spring Security中禁用'X-Frame-Options'响应头?
我在jsp上安装了CKeditor,并且每当我上传一些内容时,就会弹出以下错误: Refused to display 'http://localhost:8080/xxx/xxx/upload-image?CKEditor=text&CKEditorFuncNum=1&langCode=ru' in a frame because it set 'X-Frame-Options' to 'DENY'. 我尝试过删除Spring Security,并且一切正常。如何在Spring Security xml文件中禁用此功能?<http>标签之间应该写些什么

3
如何在Rails 4中为控制器或操作覆盖X-Frame-Options
Rails 4似乎SAMEORIGIN为X-Frame-OptionsHTTP响应标头设置了默认值。这对于提高安全性非常有用,但是不允许您的应用程序的某些部分iframe在其他域中可用。 您可以X-Frame-Options使用以下config.action_dispatch.default_headers设置覆盖全局值: config.action_dispatch.default_headers['X-Frame-Options'] = "ALLOW-FROM https://apps.facebook.com" 但是,如何仅针对单个控制器或操作覆盖它呢?

3
X-Frame-Options:Firefox和Chrome中的ALLOW-FROM
根据本文,我正在实现“传递”功能,X-Frame-Options以使合作伙伴网站将我的雇主网站包装在iframe中:http : //blogs.msdn.com/b/ieinternals/archive/2010/03/30 /combating-clickjacking-with-x-frame-options.aspx (拆分要发布的网址) 简而言之,我们合作伙伴的页面上有一个iframe,其中包含针对我们域的URL。对于我们域中的任何页面,他们都会添加一个特殊的url参数,例如&@mykey=topleveldomain.com,告诉我们该页面的顶级域是什么。 我们的过滤器会从网址中选择合作伙伴TLD(如果提供),并根据白名单对其进行验证。如果它在列表中,我们将为X-Frame-Options标题提供值ALLOW-FROM topleveldomain.com(并为将来的点击添加cookie)。如果不在我们的白名单中,我们将发货SAMEORIGIN或DENY。 问题在于,ALLOW-FROM domain对于最新的Firefox和Google Chrome,发送结果似乎没有任何操作。至少IE8似乎正在正确实施ALLOW-FROM。 签出此页面:http : //www.enhanceie.com/test/clickjack。在“应该显示内容”的第5个(共5个)框之后,是一个不应显示内容的框,但实际上是。在这种情况下,iframe中的页面正在发送X-Frame-Options: ALLOW-FROM http://www.debugtheweb.com,这与完全不同http://www.enhanceie.com。但是,框架仍显示内容。 关于是否X-Frame-Options可以ALLOW-FROM在相关(桌面)浏览器中真正实现的任何见解?也许语法已更改? 一些有趣的链接: 关于x-frame-options的RFC草案:http://tools.ietf.org/html/draft-gondrom-frame-options-01 developer.mozilla文章将标题作为2选项标题(sameorigin或deny)进行了讨论。 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options 引发整个事件的msdn博客:http : //blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx 讨论3个值的msdn博客:添加allow-from来源http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.