解决iframe嵌套第三方页面被拒绝

于 2024-09-16 01:56:45 发布
阅读量262 收藏 2
点赞数 2
分类专栏: 前端 奇特的小问题 nodejs 文章标签: 前端 node.js 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36579455/article/details/142291567
版权

背景

很多时候,出于安全考虑,没有第三方页面的允许,我们是无法直接通过iframe去打开别人的第三方页面的,通常他们会通过在页面请求的响应头增加X-Frame-Options (去了解)和Content-Security-Policy (去了解)。

目的

可是有些时候,为了满足一些比较变态的需求,就不得不去做一些违背安全的问题,比如需要嵌套一个github.com的页面等。

现象

直接使用会是如下的场景(我这里使用了本地代理,把真实请求代理到了某音平台,其实就是相当于嵌套别人第三方页面)
在这里插入图片描述

Refused to frame 'http://localhost:3000/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors https://pc.xgo.bytedance.net https://tcs.bytedance.net https://*.douyin.com".

解决方案

  1. 如果你们所处的需求跟对方有合作,最好就是让对方给开通访问白名单,这样就可以解决,从技术角度就是
Content-Security-Policy frame-ancestors 加上自己的源地址
X-Frame-Options allow-from 加上自己的源地址
  1. 通过服务器代理来更改响应头字段,绕过浏览器的验证,这样也可以实现页面的嵌套 【不过这种不知道后续会不会被其他安全措施再次修复,目前看是还可以使用这种方案的】
    先看效果
    在这里插入图片描述

这里我的服务端使用了koa框架,直接上代码


const Koa = require('koa');
const Router = require('koa-router');
const request = require("request");
const querystring = require("querystring");
const url = require("url");

const app = new Koa();
const router = new Router();

/** 代理接口,用来修改响应头 */
router.get('/proxy',  (ctx) => {
    const originUrl = url.parse(ctx.req.url);
    const qs = querystring.parse(originUrl.query);
    const targetUrl = qs["target"];

    const options = {
        headers: {
            "user-agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Safari/537.36",
            "cookie": `有的 网站需要检测特定的cookie key`
        }
    };
    // 2.代发请求

    return new Promise((resolve, reject) => {
        request(targetUrl, options, (error, response, body) => {
            if (error) reject(error)
            if (!error && response.statusCode === 200) {
                
                ctx.res.writeHead(200, { "Content-Type": "text/html" })
                ctx.res.end(body)
                resolve();
            } else {
                ctx.response.body = {
                    status: response.statusCode,
                    result: 'forbidden'
                }
                resolve()
            }
        });
    });
})

app.use(router.routes());
app.use(router.allowedMethods())

const port = 10101;
// 1.创建代理服务
app.listen(port);

前端主要代码

<iframe id="byte-iframe" width="100%" height="100%" src='http://localhost:10101/proxy/?target=https%3A%2F%2Fwww.douyin.com%2Fdiscover' ref={refIframe}></iframe>

后续我会继续增对这块出续集,感兴趣的可以关注一下,我也会针对这一个主题,去尝试扩展一些骚操作,目前先保密

写到最后

如果有帮到大家,记得帮博主点个赞,你们的支持是我持续更新的最大动力啦

不cong明的亚子
关注
专栏目录
nginx 解决跨域问题嵌入第三方页面
飞鸿腾达的博客
08-19 1984
本文主要介绍了nginx 解决跨域问题嵌入第三方页面,文中通过示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 前言 我们自己的系统需要加载第三方系统中的一部分组件。计划的是第三方开发、提供相关接口,我们通过接口获取到数据,然后,再用这些数据在我们系统中吧相关的功能实现了 可惜的是,领导没有协调下来。正规的途径搞不定,那就需要花式整活了 前面也说了,我们走接口拉数据重新渲染,这样的玩法是比较常规的,缺点是需要重新去实现相关模块,还需要对方开放接口。 现在只能走非正常渠道,比
chrome新版本中iframe嵌套cookie跨域携带问题
lj1530562965的博客
05-19 7976
问题: 新版chrome浏览器嵌套frame页面一直没法显示出来(空白页面),页面未报错 问题分析: Google 在2020年2月4号发布的 Chrome 80 版本默认屏蔽所有第三方 Cookie, 即默认为所有 Cookie 加上 SameSite=Lax 属性(https://www.chromestatus.com/feature/5088147346030592),并且拒绝非Secure的Cookie设为 SameSite=None(https://www.chromestatus.com/fe
解决iframe嵌套第三方网址不能访问
热门推荐
Davi的博客
05-11 2万+
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站的 iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。2.SAMEORIGIN:只允许同源网站嵌入。
解决vue前端iframe框架嵌套第三方网址拒绝访问
HD243608836的博客
04-16 3990
Refused to display '嵌套的网址' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
iframe嵌套其他网站提示连接被拒绝
我的博客
06-08 1万+
最近开发项目中遇到了iframe嵌套页面,遇到了域名提示…拒绝了您的访问。报错:Refused to display ‘http://xxxxxxx/’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.X-Frame-Options: HTTP 响应头是用来给浏览器 指示允许一个页面 可否在或者中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免 点击劫持 攻击。
iframe嵌套其它网站页面及相关知识点详解
Quentin0823的博客
01-31 2万+
在一个页面嵌套另外一个页面,就要使用到框架 标签。 标签规定一个内联框架。一个内联框架被用来在当前 HTML 文档中嵌入另一个文档。
iframe 跨域访问session/cookie丢失问题解决方法
hsyyff的博客
11-07 1182
iframe 跨域访问session/cookie丢失问题解决方法
Vue中,超链接被拦截
weixin_44062380的博客
04-22 884
Vue中,超链接被拦截 之前在使用vue开发的时候,出现这么一个问题 我写一个超链接,想要打开新窗口,前往外链接: <a href="www.baidu.com" target="_blank">前往百度</a> 但是点击以后,却被路由拦截了: 硬是给我加上了 localhost:8080 网上查了很多方法,又说在 js 中用window.location.herf的,又说不要用超链接的 后来我发现,解决的方法很简单 只要在超链接地址前,加上协议名称就行了 .
H5页面中判断微信小程序和微信浏览器环境
qq_36579455的博客
09-09 3398
方法一: 首先通过ua判断微信环境,然后使用getEnv判断是否为小程序(res.miniProgram为true)还是微信浏览器(res.miniProgram为false) wx.miniProgram.getEnv(res => res.miniProgram && ‘小程序环境’) 方法二: 嵌套在webview中,可以使用self !== top来判断是否为小程序 方法三: 当然前两种还是有缺陷,可以使用在h5链接上添加小程序的唯一标识(参数) 比如 previewer =
前端下载文件的两种方式post和get
qq_36579455的博客
02-01 2718
文章目录一、使用post二、使用get总结欢迎底下留言,一起学习进步! 一、使用post // 生成excel export function GeneratExcel(data) { return request({ url: '/artifact/download_list/', method: 'post', data, responseType: 'blob' }) } GeneratExcel(this.deployList).then(res =&g
vue项目外挂配置文件(js 和 json)
qq_36579455的博客
11-02 2313
文章目录前言特别注意:一、外挂JS配置文件1. 创建config.js2. 导入config.js到index.html3. 使用config.js中的变量二、外挂json配置文件1.准备工作2. 配置vue.config.js3.读入数据总结 前言 前端开发过程中,会有很多关键性的、易改动的常量,例如:后台url、 第三方登录的url等其他第三方链接地址,它们都是很容易更改的常量。 要是我们把这些变量写死在代码中,所引发的问题就是,在线上,也就是生产环境中,当某个url发生了变化,那么前端就必须在代码中
Vue如何实现主题切换功能
qq_36579455的博客
09-24 2067
s fff
jquery打包到webpack项目
qq_36579455的博客
12-21 1378
入口文件 — index.js window.$ = require('jquery') webpack.config.js const webpack = require('webpack') module.exports = { ... plugins: [ ... new webpack.ProvidePlugin({ $: 'jquery', jQuery: 'jquery' }) ... ] ... } ...
js--(crypto)自定义生成范围内随机数
qq_36579455的博客
08-11 1253
文章目录背景替换random的方案方案一:方案二, 使用crypto([参考文章](https://blog.csdn.net/gengkui9897/article/details/106344417)) 背景 作为伪随机数生成方法Math.random(),存在一些安全隐患,如果触碰到代码扫描这关,估计就得被打回来重新寻找新的生成随机数的方法了。。。。 替换random的方案 最重要的一点,就是可以透过代码扫描 方案一: // 返回a-b之间任意的整数 这里需要注意 seed需要具备全局变量的性质
记一次高版本view-design的组件迁移到自身项目的低版本
最新发布
qq_36579455的博客
09-09 843
vue2项目中用到了view-design,你肯定会遇到image组件没法用的情况,那你就来对了
循环引用和你不知道的JSON.stringify
qq_36579455的博客
10-28 826
前言 将循环引用和JSON.stringify放在一起,眼界宽的大佬应该知道我要阐述的东西是什么了;不太清楚的xdm不用着急,这篇文章将带你们彻底搞懂循环引用,以及使用JSON.stringify的黑魔法来序列化循环引用的对象。 如有错误之处,还望指出! 一、What is 循环引用? 来自百度百科的解答 当一个单元格内的公式直接或间接地应用了这个公式本身所在的单元格时,就称为循环引用。 以上回答有点抽象,不过很简洁的表达了循环引用,接下来会站在js的角度去讲述什么是循环引用。 - 对象之间相
nodejs清空文件内容
qq_36579455的博客
11-10 784
nodejs中如何清空写入的文件
vue前端性能优化之cdn的使用
qq_36579455的博客
03-24 737
优化原因 目中首页加载过慢, 原因是js,css 静态资源第一次加载的时间长 vue.config.js 'use strict' ... ... const cdn = { js_cdn: [ 'https://cdn.jsdelivr.net/npm/moment@2.27.0/moment.min.js', 'https://unpkg.com/vue@2.6.10/dist/vue.js', 'https://unpkg.com/vue-i18n@8.18.2/dist
解决iframe嵌套第三方页面跨域问题
07-23
在网页中使用`<iframe>`嵌入第三方页面时,可能会遇到跨域问题,因为浏览器出于安全考虑,不允许来自不同源的脚本访问彼此的资源。解决这种问题通常有几种策略: 1. **JSONP**(JSON with Padding):如果目标...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值