一次由iFrame嵌入网页引起的跨域问题解决

已于 2023-06-08 09:20:50 修改
阅读量7.1k 收藏 7
点赞数
文章标签: 前端 javascript 开发语言 flask
于 2023-06-08 09:18:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jeansfirm001/article/details/131100363
版权
文章描述了一个在A系统内以iFrame形式嵌入B系统时遇到的登录失效问题,原因是浏览器限制了跨域Set-Cookie。解决方案是设置Cookie的SameSite属性为None,并确保使用HTTPS协议和Secure属性。通过Flask的flask_cors和flask_cas模块进行后端改造,成功实现了在A系统iFrame中保持B系统的登录态。
摘要由CSDN通过智能技术生成

公司内部系统,有一个A系统主网页

asys.aaa.sample.com

这个页面内部以iFrame的形式嵌入了另一个B系统的页面

bsys.bbb.sample.com

B系统有自己的登录逻辑,并且会在Cookies中保存后端SessionID;B系统正常的登录逻辑是验证账户和密码后,给前端返回Set-Cookie,设置登录态信息,后续无需重复登录

在单独的页面中打开B系统可以正常登录,且持有、保持登录态

但从A系统页面访问的时候,iFrame中的B系统页面登录失效,一直循环在登录页面

通过审查页面元素,发现B系统页面的网络请求返回出现浏览器提示warning

原来通过iFrame访问B系统页面的时候,浏览器识别到为跨域请求,所以Set-Cookie失效,无法保持登录态

提示信息中表明,可以通过设置 Set-Cookie中 的 SamSite=None 来实现跨站点访问

 

后端改造

后端是采用Flask实现的Web服务,使用 flask_cors + flaks_cas 模块提供的功能实现登录验证

需要设置Cookie的SamsSite属性,只需要在flask app的config里面设置相应的属性即可

需要注意的是,设置 SameSite=None 的前提是,该页面使用https协议,且 设置 Secure 属性为 True, 如上图红框所示 

到此,在A系统iFrame中嵌入的页面也可以实现正常登录和登录态保持~~

Jeanfo
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iframe嵌入页面跨域通信
m0_51431448的博客
09-07 6063
在项目中可能会通过iframe直接将另一个页面嵌入进来,某些场景下还可能会进行一些消息的传递通信。之前做过一次,就是我们开发的主系统,然后下面还有很多子系统,子系统都是通过iframe嵌入进来的,然后为了实现某些需求,需要将token传递给子系统,拱子系统使用,但是当时一直忙着开发,忘记记录了,所以这篇算是补上吧嵌入进来的页面的window跟我们现在的window已经不是同一个了,更不是同一个document。
iframe跨域与session失效问题的解决办法
01-21
何为跨域跨域session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的网站中会加载(嵌入)另外第三方的网站代码,例如促销广告,那么第三方网 站也会在访客的计算机上添加session/cookie,这种就是第三方session/cookie。 我的问题 在开发讯息在线产品(http://iap.pgia.net)测试各种浏览器的兼容性时,发现IE浏览器(v7\8)都无法登录(总是提示验证码不匹配
完美解决iframe跨域问题
04-18
框架完美解决iframe之间的跨域通讯。底层技术采用window.name转换代理实现
项目中使用iframe嵌入外部网页时提示连接被拒绝
最新发布
weixin_42864357的博客
06-25 2222
X-Frame-Options: HTTP 响应头是用来给浏览器 指示允许一个页面 可否在iframe标签,embed标签 或者 标签中展现的标记,浏览器拒绝当前页面加载任何Frame页面。即该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。即表示该页面可以在相同域名页面的frame中展示。为允许frame加载的页面地址。即表示该页面可以在指定来源的frame中展示。X-Frame-Options可用于指示是否应该允许浏览器呈现在一个页面。
解决iframe跨域问题
guishifoxin的博客
05-15 2万+
目录场景解决跨域一:使用代理页面(来自 [伯纳乌的追风少年](https://www.jianshu.com/p/9d90d3333215))解决2:使用postmessage 场景 在开发中,发现部分页面内容在不同项目中重复率极高,像导航栏这种,不同项目都需要复制一份代码在项目中很麻烦,而且修改起来也工具量大,容易遗漏或错误。想到通过引用组件或iframe页面嵌套的方式解决,使用组件解决的话每次...
iframe跨域解决方案
小巧r的博客
08-03 2万+
在 Web 开发中,跨域是指在一个域(例如,https://www.example.com)的页面中请求了另一个域(例如,https://api.example.com)的资源,浏览器出于安全考虑会阻止这样的请求。:在父页面的同域下创建一个代理页面,该页面与 iframe 的目标域同源,然后在代理页面中请求目标资源,并将请求结果传递回父页面。这样可以绕过跨域限制,但需要后端协助。:如果想在当前系统里嵌入其他系统链接,可以在nginx中,将请求的接口代理到对应的服务器下,实现接口的正常调用。
iframe嵌套页面 跨域_跨域
weixin_39923599的博客
12-01 2953
同源策略同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。比如说http://a.com下面的脚本不能读取http://b.com接口里面的数据。同源指的是:协议相同域名相同端口相同对于域名:http://a.com:8080https://a.com:8080 不同源 协议不相同http://a.com:8081 不同源 端口不相同http://b.c...
通过iframe嵌入三方系统时遇到的跨域问题解决方案
_老逄
10-30 1万+
总结在iframe嵌入第三方系统时遇到的跨域访问问题
深入浅出iframe(+ iframe嵌套第三方页面跨域带cookie问题)
qq_45859670的博客
08-30 5403
iframe 标签规定一个内联框架。内联框架就是在一个页面中嵌入另一个页面。由于 iframe 可能在某些方面不符合标准网页设计的理念,已经被HTMLl5抛弃,目前的HTML5不再支持它了。
【华为云技术分享】详解浏览器跨域的几种方法
华为云官方博客
07-13 4121
本文针对浏览器的跨域特性,做一下深入介绍,以便我们在进行WEB前端开发和测试时,对浏览器跨域特性有全面的理解和掌握。
使用iframe网页嵌入其他网页的方法
09-28
同时,`iframe`也有一些需要注意的点,比如跨域问题,如果嵌入网页与主页面不在同一个域名下,可能会受到浏览器的同源策略限制。此外,`iframe`的使用也可能会对网页的性能和SEO产生影响,因为它们可能会导致额外...
iframe与主框架跨域相互访问
12-27
iframe 与主框架相互访问例子,包含同域访问,跨域访问例子。
cross-domain:通过三层Iframe嵌套实现JS跨域访问
06-11
使用在iframe中内嵌一个动态生成的指向与父页面同域的iframe实现跨域 文件列表 A域(父页面)中的文件 cross_domain_transfer.html 实现跨域的关键文件,B域要指向的目标跨域跳转页面URL ; Parent.html A域示例页面,内嵌iframe指向B域 。 B域(子页面)中的文件 crossdomain.js 实现跨域的关键文件,用于动态生成跳转的iframe; var crossDomain = new CrossDomain('<A>/cross_domain_transfer.html'); //初始化跨域类,传入目标域的跨域跳转页面URL crossDomain.visit(' parent.somefunction(args...)'); iframe.html B域示例页面,嵌入到A域Parent.html的iframe
iframe跨域常用问题和iframe页面自适应
08-20
网页开发中,`iframe`...总结,理解和掌握`iframe`的跨域解决方案以及自适应策略,对于开发高效且用户体验良好的Web应用至关重要。在实际应用中,还需要注意安全性、性能优化等问题,以提供更优质的网页服务。
iframe嵌套页面 跨域
weixin_30542079的博客
07-12 934
父级调用iframe方法: document.getElementById("iframe").contentWindow.func(data1,data2...) 子级 iframe中调用 父级html中方法: parent.func(data1,data2...) 使用的前提条件是要在同域名下,想要如果域名不同,甚至端口不同,都会存在 跨域 的问题。 简单示例d...
iframe嵌套第三方页面跨域带cookie问题
zhengaog的博客
04-09 2万+
问题描述: 192.168.40.26服务器上有一个项目,某个页面嵌入了第三方系统平台, 第三方系统平台服务器地址是:192.168.40.67 页面嵌入成功,只能访问到登录页,登陆成功但是页面不进行跳转。 如果单独登录第三方平台,如下图: 嵌入第三方后页面 ,如下图: 提示正常登陆成功,却没有跳转页面。页面晃动一下,但还是停留在登陆页面上。 判断是因为跨域问题嵌入页面时使用192.168.40.26IP地址访问第三方192.168.40.67登录接口时登陆成功,但是前端页面也在这个192.168.
使用Iframe嵌套其他系统页面遇到的跨域问题
热门推荐
第一行代码
07-14 5万+
之前需要将一个其他的系统页面集成到现在主要使用的一个平台上,因为这个系统使用的是jsp的页面,另一个是augular的页面,并且为了保持项目的完整性和较小的改动,所以使用了iframe来将另一个页面集成进来。 如何使用iframe嵌套页面 使用frameset标签即可将其他的页面集成到这个当前的页面,这个frame标签的作用其实挺大的 第一,可以防止页面刷新,将其他的一些刷新操作放到fram...
iframe 嵌入第三方网站跨域,此图片来自微信公众平台 未经允许不可引用
aaagjy的博客
12-17 3391
1.使用cors-anywhere跨域问题 <iframe id="iFrame" style="width: 100%; height: 100%" frameborder="0" /> getUrl(url) { const http = window.location.protocol === 'http:' ? 'http:' : 'https:' // 调用跨域API let realurl = http + '//cors-anywhere.herokuapp.com/
iframe跨域问题 嵌入别人的网站
09-17
当我们在一个网站嵌入另一个网站时,使用iframe标签可以实现这个功能。然而,由于浏览器的同源策略,当嵌入网站与父网站的域名、协议或端口不一致时,就会引发iframe跨域问题跨域问题是为了保护用户的信息和安全而设置的一种安全机制。它防止恶意的网站通过iframe来获取其他不同域名下的敏感信息或进行恶意操作。 解决跨域问题的常见方法有两种:一是使用后端代理,在服务器端通过后端代码将请求发送到目标网站,并将响应结果返回给前端。这样前端代码就不需要发送跨域请求,而是发送同源请求,从而避免了跨域问题。 另一种方法是使用CORS(跨域资源共享)机制。CORS是一种通过浏览器同意的机制,它允许在一个域中的网页向另一个域的服务器发送XMLHttpRequest请求,并且可以处理服务器返回的响应。在目标网站的服务器端,需要进行相关配置,允许来自其他域的请求。 当然,以上两种方法都需要服务器端的支持和配合。如果目标网站不支持CORS,没有提供相关的接口或配置选项的话,那我们就无法通过以上方法解决跨域问题了。 总的来说,iframe跨域问题是一种为了保护用户信息安全的安全机制。通过后端代理或CORS机制可以解决这个问题,前提是目标网站需要提供相应的支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值