iframe嵌入第三方链接页面不展示、cookie丢失等问题总结

已于 2023-06-30 12:50:31 修改
阅读量4.3w 收藏 86
点赞数 37
文章标签: dubbo
于 2021-08-23 14:42:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dong__xue/article/details/119868136
版权

需求是这样的:有一个第三方开发的系统的页面需要嵌入到我们的项目中,对方提供了一个地址:http://ip:port/path?name=xxx&pw=xxx。

当我们想使用iframe来展示这个地址的时候,出现以下现象和错误:

并且控制台报错:

Refused to frame 'http://xxxx:30002/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'none'".

拒绝在框架内展示这个链接,因为其违反了网页安全策略指令XXX;

这是因为一些网站使用了“网页安全策略”,使得iframe不能引入页面。解决办法如下两种:

一:内容安全策略:Content Security Policy

 ​​​​# 不允许被嵌入
Content-Security-Policy: frame-ancestors 'none'
# 只允许被同源的页面嵌入
Content-Security-Policy: frame-ancestors 'self'
# 只允许被白名单内的页面嵌入
Content-Security-Policy: frame-ancestors www.example.com

二:frame选项:X-Frame-Options

这两种策略都是请求头的属性,我们通过nginx的代理将其设置到头里并设置其属性ALLOWALL:

#百度
location /baidu/ {
    proxy_hide_header X-Frame-Options;
    add_header X-Frame-Options ALLOWALL;
    proxy_pass https://www.baidu.com/;
}

================================分割线===================================

如果通过这样的代理你的页面可以出来了,那就不用看下面的了。

通过以上的配置确实,不再会有之前的两个现象出现,但是页面还是没有展示出来,打开开发者模式,观察到有些请求401了,这才看到,登陆set-cookie后,后续的请求头中并没有cookie,这就是cookie丢失。

这是因为:谷歌浏览器cookie中有个samesit属性,是用来限制第三方cookie,从而减少安全风险。Samesit有三个值分别是:Strict、Lax、None,默认是Lax,Lax表示大多数情况不允许发送cookie,但是导航到目标地址的get请求除外

 Strict表示严格的不允许发送cookie。None则表示可以发送无任何限制。

所以就出现了:我们在浏览器中打开地址的时候可以正常访问,使用iframe打开后就出现401。

在谷歌低浏览器版本的时候,我们还可以通过设置浏览器的samesit属性来规避这个问题,就是大家百度到的那种解决办法。

但是到后来高版本以后,就没有这个设置了。

解决办法:还是通过nginx代理来解决问题,想办法把cookie中的samesit属性给设置成none,注意:将samesit设置为none的前提是设置cookie的Secure属性,这个属性代表Cookie只能通过HTTPS协议进行访问,所需还需设置cookie的Secure属性,并且配置nginx的https代理。

接下来看配置:

第一步:windows下nginx配置https,linux下配置大同小异,自行百度

第二步:nginx安装headers-more-nginx-module

第三步:代理配置:

	server {
		listen       8990 ssl;
        server_name  xxxx;
		
		ssl_certificate      cert/server.crt;
		ssl_certificate_key  cert/server.key;
		
		
		location ~ .*\.(gif|jpg|jpeg|js|html|png|map|ts|svg|css|do|xml|woff|tff)$
        {
            proxy_pass http://xxxx;
        }
		
		location = / {
			proxy_hide_header X-Frame-Options;
            add_header X-Frame-Options ALLOWALL;	
			proxy_pass http://xxxx/demo/ebipro/easyolap.do;
            //这里相当于改变了请求的头信息,这里我们在之前的set-cookie中追加了Secure,以及Samesit=None
			more_set_headers 'Set-Cookie: $sent_http_set_cookie; Path=/demo; HttpOnly; Secure; SameSite=None';
		}
			
	}

其实以上这些知识都是和网站安全相关的,在开发中属于比较不常见的知识,就当自己的拓展了解一下也是不错的。

dong__xue
关注
  • 37
    点赞
  • 86
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
iframe跨域常用问题iframe页面自适应
08-20
这是关于iframe使用过程中出现的问题整理的解决方法,关于使用iframe不用单独写接口打通数据,直接把数据通过ifarme嵌套方法传递过去,使用简单方便。
关于Iframe如何跨域访问Cookie和Session的解决方法
01-20
最近做登录系统的整合,其中遇到的一个最关键的问题为在一个统一的后台里需要无障碍的访问另外一个系统后台,这个系统是第三方提供的一个加过密的系统,后台自动登录接口是自己分析出来的,没有单独提供,当从统一后台通过自动登录接口登录时,系统直接跳转到系统后台首页,后台登录成功后所跳转的URL这里没法指定,控制不了跳转的页面,如果在统一后台里需要链接到这个系统后台的另外一个页面,而非后台默认首页时,也就是将第三方系统后台的菜单功能放到我们这个统一后台里。 对于这样的一个需要,这里会遇到一个问题,为了能正常访问第三方系统的后台栏目,必需确保已经登录该系统,否则会提示用户登录,所以在点击这些菜单链接时,系统
Vue进阶(贰零叁):iframe嵌套页面IE不展示问题解决_iframe src 无效果
2401_84413092的博客
05-08 922
本人分享一下这次字节跳动、美团、头条等大厂的面试真题涉及到的知识点,以及我个人的学习方法、学习路线等,当然也整理了一些学习文档资料出来是给大家的。知识点涉及比较全面,包括但不限于前端基础,HTML,CSS,JavaScript,Vue,ES6,HTTP,浏览器,算法等等开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】},})},watch: {$route: {},// IE== -1) {i++) {})**B系统:**if (vm.
iframe嵌入链接本地环境正常,正式环境重定向到登录解决
02-28
iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe嵌入链接本地环境正常,正式环境重定向到登录解决iframe
iframe跨域与session失效问题的解决办法
01-21
何为跨域跨域session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的网站中会加载(嵌入)另外第三方的网站代码,例如促销广告,那么第三方网 站也会在访客的计算机上添加session/cookie,这种就是第三方session/cookie。 我的问题 在开发讯息在线产品(http://iap.pgia.net)测试各种浏览器的兼容性时,发现IE浏览器(v7\8)都无法登录(总是提示验证码不匹配
Nginx配置Http响应头安全策略_nginx content-security-policy
最新发布
2401_84520245的博客
05-17 1116
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
使用iframe在网页中嵌入其他网页的方法
09-28
主要介绍了使用iframe在网页中嵌入其他网页的方法,需要的朋友可以参考下
an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘none‘”.
sqlora的专栏
09-01 2万+
一.从 iframe 说起 利用iframe能够嵌入第三方页面,例如: <iframe style="width: 800px; height: 600px;" src="https://www.baidu.com"/> 然而,并非所有第三方页面都能够通过iframe嵌入: <iframe style="width: 800px; height: 600px;" src="https://github.com/join"/> Github 登录页并没有像百度首页一样
【nginx启动报错】Refused to frame ‘https://docs.github.com/‘ because an ancestor violates the following Co
态度决定一切
04-22 6972
Refused to frame 'https://docs.github.com/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self' github.com *.github.com *.githubusercontent.com *.githubassets.com".
解决iframe嵌套第三方网址不能访问
Davi的博客
05-11 2万+
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站的 iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。2.SAMEORIGIN:只允许同源网站嵌入
Refused to frame ‘XXX‘ because an ancestor violates the following Content Security Policy directive:
tomcat_little的博客
04-12 1万+
———————————————— 版权声明:本文为CSDN博主「Anthony_tester」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本...
iframe 内嵌第三方网站 cookie 失效,解决办法
weixin_44493841的博客
01-13 6043
iframe 内嵌第三方网站 cookie 失效,解决办法 网站iframe内嵌第三方带登录页的网站时,在ie和火狐和部分谷歌浏览器是可以的,但是在升级版的谷歌浏览器中是无法访问的 问题是谷歌浏览器在Chrome80后提示限制第三方cookie问题 解决方案: 方案1. 将SameSite属性值设为None, 同时将secure属性设置为true。且需要将后端服务域名必须使用https协议访问; 方案2. 由于设置SameSite = None,有SCRF风险。所以,最佳方案是用token代替Cookie
safari,opera嵌入iframe页面cookie读取问题解决方法
01-19
查到原因是因为在这些浏览器中对第三方cookie安全验证比较严格,需要确认是用户主动到第三方网站的,才能读到cookie,于是加个引导页面要用户点击下才能进入我们的组件。 1,首页 判断是否是这些浏览器,若是则去...
解决vue前端iframe框架嵌套第三方网址拒绝访问
HD243608836的博客
04-16 3050
Refused to display '嵌套的网址' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
【网络安全】Content Security Policy (CSP) 介绍
qq_43842093的博客
06-03 1803
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。
uni-app - Refused to display ‘xxx‘ in a frame because an ancestor violates the following Content Sec
王佳斌
07-19 3672
uni-app - Refused to display ‘xxx‘ in a frame because an ancestor violates the following Content Sec
内容安全策略(content-security-policy
热门推荐
我的LOG
12-31 3万+
iframe 在使用iframe 的时候 <iframe style="border:0;width:100%;height:100%" src="https://github.com/join"/> 经查 报的是 Refused to frame ‘https://github.com/’ because an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘non
Refused to display because an ancestor violates the following Content Security问题简单解决
AnNong
09-04 8373
Refused to display because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'
nginx 的安全策略问题
zhangiser的专栏
05-09 3197
不允许被嵌入,包括, , , 和 在nginx的 nginx.conf 的http 下面 加入安安全策略。这里主要是 frame-ancestors的参数需要调整。# 只允许被白名单内的页面嵌入。# 只允许被同源的页面嵌入
iframe嵌入第三方页面无法获取cookie问题处理
06-03
这个问题通常也是由于浏览器的同源策略导致的。同源策略要求浏览器只能在同一个域名下共享cookie。如果第三方页面和当前页面的域名不同,则无法获取当前页面cookie。 解决方法有以下几种: 1. 在服务器端设置cookie的域名为主域名,例如将cookie的域名设置为“example.com”,则所有子域名都可以获取该cookie。 2. 使用postMessage方法进行跨域通信。在当前页面中使用postMessage方法将需要传递的信息发送给嵌入iframe页面iframe页面再将响应信息发送回来,从而实现跨域通信。 3. 在第三方页面中使用代理页面来获取cookie。代理页面和当前页面在同一个域名下,可以获取当前页面cookie,然后将cookie传递给第三方页面。但是这种方法需要在代理页面中进行身份验证,以确保只有经过身份验证的请求才会被代理。 需要注意的是,由于安全原因,使用第三方cookie可能会被浏览器拦截,因此在实际开发中需要谨慎处理。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dong__xue

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值