使用 X-Frame-Options 防止被iframe 造成跨域iframe 提交挂掉

最新推荐文章于 2024-05-30 14:17:05 发布
最新推荐文章于 2024-05-30 14:17:05 发布
阅读量1.1k 收藏
点赞数
分类专栏: 前端 iframe 文章标签: iframe

原文地址
使用 X-Frame-Options 防止被iframe 造成跨域iframe 提交挂掉

Refused to display ‘http://www.***.com/login/doLogin.html’ in a frame because it set ‘X-Frame-Options’ to ‘SAMEORIGIN’.

触发原因:页面的返回头被设置 X-Frame-Options SAMEORIGIN ,只能被同源的iframe 引用。跨域名的iframe 没法显示了。

解决办法:
第一步 把 服务器上的 X-Frame-Options header 去掉

第二步 添加 如下代码到 不想被iframe 的页面header 里去。

其他:

X-Frame-Options ALLOW-FROM 只支持单一域名 想支持多个二级域名的这个无解

并不是所有的浏览器都支持 这个header 所以,低版本的浏览器仍然会被iframe 成功

参考:http://www.css88.com/archives/5141

Browsers Supporting X-Frame-Options
http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx

IE8+
Opera 10.50+
Safari 4+
Chrome 4.1.249.1042+ (Allow-From not yet supported)
Firefox 3.6.9 (or earlier with NoScript)

无法通过 这种形式在document 的 header 里面设置,只能通过 http header 设置。

Browsers ignore the header if speicified in the META tag. So the following META will be ignored:

防止被IFRAME :把这些代码放到你的 header 里

参考这个帖子
https://www.codemagi.com/blog/post/194

关于点击劫持 和 被iframe 的其他参考:

http://javascript.info/tutorial/clickjacking

http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx

https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

带中文请求的URL 可能会返回400 需要 encodeURIComponent 处理.尤其是使用IE 的时候。

转自:http://www.cnblogs.com/trance/p/4645486.html

更多参考:http://www.cnblogs.com/xuanhun/p/3610981.html

日落之乡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从 chromium源码中 去除iframe无法显示x-frame网页问题
清流弯弯
01-21 776
我已经尝试过CEF各层面的修改,无论是HANDELE处理,还是从extentions扩展考虑,均无法实现在iframe中 显示 响应头 带有x-frame-optition的网页。 后来,从chromium源码着手,修改源码的两个地方,重新编译新的CEF后,就可以无限制的在iframe中显示网页了。 借鉴ignore_frame 插件的JS代码 const HEADERS_TO_STRIP_LOWERCASE = [ 'content-security-policy', 'x-...
iframe与主框架跨域相互访问
09-01
当一个跨域请求发送时,浏览器会先发送一个预检请求(OPTIONS请求),检查服务器是否允许该跨域请求。如果服务器返回的响应头包含了适当的`Access-Control-Allow-*`字段,那么浏览器才会继续实际的请求。`Access-...
iframe X-Frame-Options
qq_30436011的博客
10-24 1211
下面介绍下X-Frame-Options主要用处是用于防止点击劫持,**点击劫持(ClickJacking)**是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。那么怎样自定义配置呢?
Refused to display ‘‘ in a frame because it set ‘X-Frame-Options‘ to ‘sameorigin‘
最新发布
qq_53513969的博客
05-30 262
Refused to display '' in a frame because it set 'X-Frame-Options' to 'sameorigin'
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 9998
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面iframe页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
解决iframe 请求security出现X-Frame-Options
我是一只蘑菇17的博客
09-27 1192
>>>> Springboot 2.x 要在继承了 WebSecurityConfigurerAdapter 的配置类中配置。插入.and().headers().frameOptions().在开发SpringSecurity配置的项目时,返回带有。结合SpringBoot只要在页面访问控制的配置中加上。()//防止iframe内容无法显示,解决问题!()//防止iframe内容无法显示。的页面时,无法显示。打开页面工具看到提示。
使用Iframe时针对X-Frame-Options跨域问题的解决方案-Nginx(亲测有效)
热门推荐
weixin_44588243的博客
04-28 1万+
只需一个配置,轻松解决X-Frame-Options跨域问题 效果展示: 1、存在问题: 2、解决问题 对iframe引入的http://com.ityj.frame/xframe/hello项目,通过nginx过滤掉X-Frame-Options的配置 操作如下: location / { #root html; #index index.html index.htm; proxy_pass http://com.ityj.frame; proxy_hide_header X-Fr
New Tab iFrame-crx插件
04-03
需要注意的是,由于安全性和隐私保护的考虑,某些网站可能不允许被嵌入到iframe中,这取决于网站的`X-Frame-Options`响应头设置。同时,对于跨域加载的iframe,可能会受到同源策略的限制,只有在服务器允许的情况下...
Enable website display in iframe-crx插件
04-06
然而,出于安全原因,许多现代网站,特别是那些涉及敏感信息或使用某些安全技术的网站,会设置X-Frame-Options头来禁止在`iframe`中展示内容,以防止点击劫持和其他恶意攻击。此外,同源策略(Same-Origin Policy)...
iframe弹窗工具类
08-22
8. **安全考虑**:工具类可能包含防止点击劫持(clickjacking)的安全措施,通过设置`X-Frame-Options`响应头来限制谁可以加载这个页面。 9. **调试支持**:为了便于开发者调试,工具类可能提供了开启或关闭开发者...
IFRAME自适应
09-13
要解决这个问题,可以在IFRAME的`src`页面设置`<meta name="referrer" content="same-origin">`或`<meta http-equiv="X-Frame-Options" content="allow-from https://example.com">`,或者服务器端设置适当的CORS...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-Options信息,需要的朋友可以参考下
iframe嵌套页面 拒绝访问 X-Frame-Options配置
天生欧皇张狗蛋
04-19 1061
deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。sameorigin 表示该页面可以在相同域名页面frame 中展示。allow-from uri 表示该页面可以在指定来源的 frame 中展示。
X-Frame-Options 响应头-----与iframe相遇
weixin_34195364的博客
05-22 447
2019独角兽企业重金招聘Python工程师标准>>> ...
IFRAME被挂马解决之法
我的专栏
12-16 495
近来很多网站都挂马了,大多都有是iframe类的,当然是这是和当前网上公布的IE漏洞有直接的关系,同时也产生了很多相应的变异,我的一个个人网站,在12天中竟然被青睐了两次,看来是别人是看上我什么了,还真有点荣幸,是给他的网站带来流量,还是别有所图呢,可惜的是,当天就发现给清了,真是有点对不住这些人了。对于FF,他们好象不感冒,于是就开始对IE下手了,其实我们可以在CSS中来写一个expre
x-frame-optionsiframeiframe的一些操作
weixin_30561177的博客
07-12 832
iframe的子操作父窗口,父操作子窗口: test.php: <!DOCTYPE html> <html> <head> <title>test</title> </head> <body> <input type="text" name="csrf" id="csrf...
使用访问二级域名加载一级域名地址,不能访问(X-Frame-Options
dickysun1987的专栏
06-29 6573
访问二级域名未登录时登陆页是一级域名地址,ie显示“此内容不能显示在一个框架中”,chrome显示空白
X-Frame-Options
hjh_cos
10-30 7550
X-Frame-Options 最近在 django 的项目中做相同域名内嵌网页时,出现了Refused to display 'http://127.0.0.1/' in a frame because it set 'X-Frame-Options' to 'deny'.的错误,这使得我的内嵌网页无法显示在同域名的网页上。 因此这篇文章将会记录一些我查资料所了解它的情况。 介绍 X-Frame-Options HTTP响应头是用来给浏览器指示允许一个页面可否在<frame>,<ifr
X-Frame-Options简介
顺其自然~专栏
09-13 3433
表示该页面可以在相同域名页面frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面frame中展示。,那么页面就可以在同域名页面frame 中嵌套。
如何设置X-Frame-Options
04-17
X-Frame-Options是一个HTTP响应头,用于控制网页在<frame>、<iframe>或元素中的显示行为。它可以帮助防止点击劫持攻击(Clickjacking)。 要设置X-Frame-Options,你可以在...建议使用CSP来代替X-Frame-Options

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值