Questions tagged «x-frame-options»

我正在写一个很小的网页，其目的是对其他页面进行构架，只是将它们合并到一个浏览器窗口中，以便于查看。我试图框住的几页禁止被框住，并抛出“拒绝显示文档，因为X-Frame-Options禁止显示”。Chrome中的错误。我了解这是一个安全限制（有充分的理由），并且无权对其进行更改。 是否有任何其他成帧或非成帧方法可以在单个窗口中显示不会被X-Frame-Options标头绊倒的页面？

419 iframe  frames  x-frame-options 

如果我创建iframe这样的： var dialog = $('<div id="' + dialogId + '" align="center"><iframe id="' + frameId + '" src="' + url + '" width="100%" frameborder="0" height="'+frameHeightForIe8+'" data-ssotoken="' + token + '"></iframe></div>').dialog({ 我该如何解决错误： 拒绝显示'https://www.google.com.ua/?gws_rd=ssl'在框架中，因为它将“ X-Frame-Options”设置为“ SAMEORIGIN”。 使用JavaScript？

170 javascript  jquery  x-frame-options 

我在jsp上安装了CKeditor，并且每当我上传一些内容时，就会弹出以下错误： Refused to display 'http://localhost:8080/xxx/xxx/upload-image?CKEditor=text&CKEditorFuncNum=1&langCode=ru' in a frame because it set 'X-Frame-Options' to 'DENY'. 我尝试过删除Spring Security，并且一切正常。如何在Spring Security xml文件中禁用此功能？<http>标签之间应该写些什么

89 java  spring  spring-security  spring-boot  x-frame-options 

Rails 4似乎SAMEORIGIN为X-Frame-OptionsHTTP响应标头设置了默认值。这对于提高安全性非常有用，但是不允许您的应用程序的某些部分iframe在其他域中可用。 您可以X-Frame-Options使用以下config.action_dispatch.default_headers设置覆盖全局值： config.action_dispatch.default_headers['X-Frame-Options'] = "ALLOW-FROM https://apps.facebook.com" 但是，如何仅针对单个控制器或操作覆盖它呢？

88 ruby-on-rails  iframe  http-headers  ruby-on-rails-4  x-frame-options 

根据本文，我正在实现“传递”功能，X-Frame-Options以使合作伙伴网站将我的雇主网站包装在iframe中：http : //blogs.msdn.com/b/ieinternals/archive/2010/03/30 /combating-clickjacking-with-x-frame-options.aspx （拆分要发布的网址） 简而言之，我们合作伙伴的页面上有一个iframe，其中包含针对我们域的URL。对于我们域中的任何页面，他们都会添加一个特殊的url参数，例如&@mykey=topleveldomain.com，告诉我们该页面的顶级域是什么。 我们的过滤器会从网址中选择合作伙伴TLD（如果提供），并根据白名单对其进行验证。如果它在列表中，我们将为X-Frame-Options标题提供值ALLOW-FROM topleveldomain.com（并为将来的点击添加cookie）。如果不在我们的白名单中，我们将发货SAMEORIGIN或DENY。 问题在于，ALLOW-FROM domain对于最新的Firefox和Google Chrome，发送结果似乎没有任何操作。至少IE8似乎正在正确实施ALLOW-FROM。 签出此页面：http : //www.enhanceie.com/test/clickjack。在“应该显示内容”的第5个（共5个）框之后，是一个不应显示内容的框，但实际上是。在这种情况下，iframe中的页面正在发送X-Frame-Options: ALLOW-FROM http://www.debugtheweb.com，这与完全不同http://www.enhanceie.com。但是，框架仍显示内容。 关于是否X-Frame-Options可以ALLOW-FROM在相关（桌面）浏览器中真正实现的任何见解？也许语法已更改？ 一些有趣的链接： 关于x-frame-options的RFC草案：http：//tools.ietf.org/html/draft-gondrom-frame-options-01 developer.mozilla文章将标题作为2选项标题（sameorigin或deny）进行了讨论。 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options 引发整个事件的msdn博客：http : //blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx 讨论3个值的msdn博客：添加allow-from来源http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx

75 firefox  google-chrome  x-frame-options  clickjacking