in a frame because it set 'X-Frame-Options' to 'sameorigin'

最新推荐文章于 2023-03-11 17:03:13 发布
最新推荐文章于 2023-03-11 17:03:13 发布
阅读量7.7w 收藏 9
点赞数 3
分类专栏: Django 错误解决 html 文章标签: iframe django 同源策略
html 同时被 3 个专栏收录
16 篇文章 0 订阅
订阅专栏
错误解决
11 篇文章 0 订阅
订阅专栏
Django
3 篇文章 0 订阅
订阅专栏

我是打算在php网站中的一个HTML文件使用iframe标签调用django网站时遇到的问题,这句话说得好像有点繁琐,就是使用iframe时遇到的问题。查了很多相关资料,又说php网站的,有说html中没有设置,有说apache中需要配置,我全部尝试一遍之后都没有解决,后知后觉,发现django中间件问题。先了解一下背景知识。

1.同源策略

什么叫同源?

URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。相反,只要协议,域名,端口有任何一个的不同,就被当作是跨域。

e.g. 对于http://store.company.com/dir/page.html进行同源检测:

URL结果原因
http://store.company.com/dir2/other.html成功仅路径不同
http://store.company.com/dir/inner/another.html成功仅路径不同 
https://store.company.com/secure.html失败协议不同
http://store.company.com:81/dir/etc.html失败端口不同
http://news.company.com/dir/other.html失败主机名不同

 

同源策略  Same-Origin-Policy(SOP)

浏览器采用同源策略,禁止页面加载或执行与自身来源不同的域的任何脚本。换句话说浏览器禁止的是来自不同源的"document"或脚本,对当前"document"读取或设置某些属性。

情景:

比如一个恶意网站的页面通过iframe嵌入了银行的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。

 

浏览器中有哪些不受同源限制呢?

<script>、<img>、<iframe>、<link>这些包含 src 属性的标签可以加载跨域资源。但浏览器限制了JavaScript的权限使其不能读、写加载的内容。

2.跨域

跨域是指从一个域的网页去请求另一个域的资源。比如从http://www.baidu.com/ 页面去请求 http://www.google.com 的资源。

 

 

2.跨域

跨域是指从一个域的网页去请求另一个域的资源。比如从http://www.baidu.com/ 页面去请求 http://www.google.com 的资源。

点击劫持保护

点击劫持中间件和装饰器提供了简捷易用的,对点击劫持的保护。这种攻击在恶意站点诱导用户点击另一个站点的被覆盖元素时出现,另一个站点已经加载到了隐藏的frameiframe中。

点击劫持的示例

假设一个在线商店拥有一个页面,已登录的用户可以点击“现在购买”来购买一个商品。用户为了方便,可以选择一直保持商店的登录状态。一个攻击者的站点可能在他们自己的页面上会创建一个“我喜欢Ponies”的按钮,并且在一个透明的iframe中加载商店的页面,把“现在购买”的按钮隐藏起来覆盖在“我喜欢Ponies”上。如果用户访问了攻击者的站点,点击“我喜欢Ponies”按钮会触发对“现在购买”按钮的无意识的点击,不知不觉中购买了商品。

点击劫持的防御

现代浏览器遵循X-Frame-Options协议头,它表明一个资源是否允许加载到frame或者iframe中。如果响应包含值为SAMEORIGIN的协议头,浏览器会在frame中只加载同源请求的的资源。如果协议头设置为DENY,浏览器会在加载frame时屏蔽所有资源,无论请求来自于哪个站点。

Django提供了一些简单的方法来在你站点的响应中包含这个协议头:

  • 一个简单的中间件,在所有响应中设置协议头。
  • 一系列的视图装饰器,可以用于覆盖中间件,或者只用于设置指定视图的协议头。

如何使用

为所有响应设置X-Frame-Options

要为你站点中所有的响应设置相同的X-Frame-Options值,将'django.middleware.clickjacking.XFrameOptionsMiddleware'设置为 MIDDLEWARE_CLASSES

MIDDLEWARE_CLASSES = (
    ...
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    ...
)

这个中间件可以在startproject生成的设置文件中开启。

通常,这个中间件会为任何开放的HttpResponse设置X-Frame-Options协议头为SAMEORIGIN。如果你想用 DENY来替代它,要设置X_FRAME_OPTIONS

X_FRAME_OPTIONS = 'DENY'

使用这个中间件时可能会有一些视图,你并不想为它设置X-Frame-Options协议头。对于这些情况,你可以使用一个视图装饰器来告诉中间件不要设置协议头:

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_exempt

@xframe_options_exempt
def ok_to_load_in_a_frame(request):
    return HttpResponse("This page is safe to load in a frame on any site.")

为每个视图设置 X-Frame-Options

Django提供了以下装饰器来为每个基础视图设置X-Frame-Options协议头。

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_deny
from django.views.decorators.clickjacking import xframe_options_sameorigin

@xframe_options_deny
def view_one(request):
    return HttpResponse("I won't display in any frame!")

@xframe_options_sameorigin
def view_two(request):
    return HttpResponse("Display in a frame if it's from the same origin as me.")

注意你可以在中间件的连接中使用装饰器。使用装饰器来覆盖中间件。

限制

X-Frame-Options协议头只在现代浏览器中保护点击劫持。老式的浏览器会忽视这个协议头,并且需要 其它点击劫持防范技巧

支持 X-Frame-Options 的浏览器

  • Internet Explorer 8+
  • Firefox 3.6.9+
  • Opera 10.5+
  • Safari 4+
  • Chrome 4.1+

以上是django能否被iframe使用的情况,如果你想能被其他网站直接使用,就将django网站的setting文件中的

'django.middleware.clickjacking.XFrameOptionsMiddleware',

屏蔽掉就好

我的问题已经解决。但是网上仍有很多解释,我感觉碰到的原因可能不同,我这次也记录一下:

在apache 中配置:

先讲一下 X-Frame-Options的作用,赋值有如下三种:

(1)DENY:不能被嵌入到任何iframe或frame中。

(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
 

防止某些重要网页被其他网站框架导入,可以给页面增加X-Frame-Options响应头,这样浏览器会依据X-Frame-Options的值来控制iframe框架的页面是否允许加载显示出来,IE下的效果如下(此内容无法再框架中显示。为了帮助保护在此网站中输入的信息安全,此内容的发行者不允许在框架中显示该信息),其他非IE核心浏览器会显示空白内容。

动态页添加X-Frame-Options响应头代码在此详细附上设置过程

1>开启Apache的扩展headers_module,
2>在Apache配置文件的空白行加上一下代码:
Header always append X-Frame-Options SAMEORIGIN

完成以上部分,重启Apache服务即可审查页面出现如下代码表示设置成功

 

参考:https://www.html.cn/archives/5141

https://blog.csdn.net/wizardforcel/article/details/48415577

https://www.cnblogs.com/xhz-dalalala/p/5259965.html

褶皱的包子
关注
专栏目录
Refused to display '' in a frame because it set 'X-Frame-Options' to 'sameorigin'
lilongan_1的博客
10-23 1万+
x-frame-options 出现的问题 夸子系统访问其他子系统的界面(用iframe嵌套,子系统间有一键登录),用iframe嵌套访问springboot项目的中的某个界面时报Refused to display ‘’ in a frame because it set ‘X-Frame-Options’ to ‘sameorigin’.。 出现问题的原因 这是因不支持iframe嵌入, 这个...
Java工程报错:Refused to display URL in a frame because it set X-Frame-Options to deny及问题详解
最新发布
雾林小妖的博客
09-03 526
springboot工程整合springSecurity报错:Refused to display URL in a frame because it set X-Frame-Options to deny及问题详解
in a frame because it set 'X-Frame-Options' to 'sameorigin'.
热门推荐
隔壁张同学
07-19 5万+
今天项目中出现一个用iframe嵌套帆软报表页面出现Refused to display in a frame because it set ‘X-Frame-Options’ to ‘SAMEORIGIN’ 于是就记录下来。 百度了很久,大致分为 X-Frame-Options是什么? X-Frame-Options是一个HTTP标头(header),用来告诉浏览器这个网页是否可以放在iFram...
跨域问题-Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘SAMEORIGIN
荷塘月色
12-14 9303
第二个例子告诉浏览器只有当架设iFrame的网站与发出X-Frame-Options的网站相同,才能显示发出X-Frame-Options网页的内容。第三个例子告诉浏览器这个网页只能放在 http://caibaojian.com// 网页架设的iFrame内。第一个例子告诉浏览器不要(DENY)把这个网页放在iFrame内,通常的目的就是要帮助用户对抗点击劫持。关掉了才解决,开始想着翻越过这个问题,最终发现这个是安全机制,翻越不了。还是不行,最终的解决方案是去帆软报表的服务器上面把安全设置里面的。
superset嵌入到静态页面报错because it set 'X-Frame-Options' to 'sameorigin'
lin的专栏
06-06 5480
1、选择charts的url 2、把url嵌入到静态页面 <!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <meta http-equiv="X-Frame-Options" content="deny"> <title></titl...
Refused to display 'XXX' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
SDFGS54DGF5S4的博客
12-16 1446
Refused to display ‘XXX’ in a frame because it set ‘X-Frame-Options’ to ‘sameorigin’. 今天在学习前后端分离的项目的时候遇到了Refused to display ‘XXX’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.的问题,然后百度一通发现是spr...
Refused to display xxx in a frame because it set X-Frame-Options to deny
07-27
如果你遇到了"Refused to display xxx in a frame because it set X-Frame-Options to deny"的错误,说明该页面设置了X-Frame-Options为deny,所以无法在frame中展示。这是一种安全措施,以保护网站的内容不被恶意...
Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'.
YangFanJ的博客
06-29 1万+
说明:前端使用layui。tab嵌套iframe,在加入security之前并无异常。springmvc 在整合spring security时,浏览器发送请求,出现解决:在继承WebSecurityConfigurerAdapter的子类的覆盖方法configure(HttpSecurity)里面添加:http.headers().frameOptions().sameOrigin();百度查找...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
例如,在IIS中,可以在站点级别添加HTTP响应头,设置`X-Frame-Options`为所需的值(DENY、SAMEORIGIN 或 ALLOW-FROM uri)。 **浏览器支持** 大部分现代浏览器,包括IE8.0+、Firefox 3.6.9+、Opera 10.50+、Safari...
1 Refused to display ‘url’ in a frame because it set 'X-Frame-Options' to 'sameorigin' 怎么解决?...
weixin_30753873的博客
08-26 1171
进在开发公司的文件中心组件,提供各个子系统的附件上传下载、预览、版本更新等功能,前端在今天突然给我发一张图,说预览缩略图遇到问题了,然后发了个截图给我: 这很明显是一个跨域问题, X-Frame-OptionsHTTP响应头是用来给浏览器指示允许一个页面可否在<frame>,<iframe>或者<object>中展现的标记。网站可以使用...
in a frame because it set ‘X-Frame-Options‘ to ‘sameorigin‘-- geoserver
xinleicol的博客
06-28 1630
geoserver中出现’X-Frame-Options’ to 'sameorigin’的问题 问题 编写代码时,想通过点击查看影像的像素值,这对高程栅格影像十分有作用,发现在geoserver给的openlayers源码中,有这样的功能,但是问题是:自己编写的代码中无法加载,出现了以上错误!原代码是: document.getElementById('nodelist').innerHTML = '<iframe seamless src="' + url + '"></ifra
.net Iframe 'X-Frame-Options' to 'SAMEORIGIN' 解决办法
qq_32915337的博客
04-10 2万+
Refused to display 'http://xxx.cn/' in a frame because it set 'X-Frame-Options' to 'sameorigin'. 证明此页面不能被Iframe 解决方法: 1.在被Iframe的web.config 中取消行<add name="X-Frame-Options" value="SAMEORIGIN" /&g...
url嵌套时报错:in a frame because it set 'X-Frame-Options' to 'sameorigin' python跨域设置
weixin_37994148的博客
12-03 3419
1、settings配置 #页面允许被跨域访问 X_FRAME_OPTIONS='ALLOWALL' setting里增加代码: # 跨域增加忽略 start X_FRAME_OPTIONS = 'ALLOWALL' CORS_ALLOW_CREDENTIALS = True CORS_ORIGIN_ALLOW_ALL = True CORS_ORIGIN_WHITELIST = ...
Refused to display in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'
打杂人
03-27 1万+
I am developing a website that is supposed to be responsive so that people can access it from their phones. The site has got some secured parts that can be logged into using Google, Facebook, ...etc (
Electron iframe报错Refused to display ‘**‘ in a frame because it set ‘X-Frame-Options‘ to ‘sameorigin
youyudexiaowangzi的专栏
09-11 1万+
Electron中试用iframe标签,访问https://www.baidu.com/结果iframe标签显示空白,并且报错 :9080/#/:1 Refused to display 'https://www.baidu.com/' in a frame because it set 'X-Frame-Options' to 'sameorigin'. 大意已同源策略的限制,可以通过服务器端的配置允许iframe的访问,但是如果访问第三方的url,就无法控制了,electron中可以通过web.
帆软iframe无法加载 in a frame because it set ‘X-Frame-Options‘ to ‘sameorigin
想到哪记到哪
07-22 3116
element-UI项目适用iframe嵌入帆软报表,无法加载,报错 in a frame because it set ‘X-Frame-Options’ to ‘sameorigin’. VM13223:7146 crbug/1173575, non-JS module files deprecated. 登录帆软的管理系统,地址: http://localhost:8075/webroot/decision ...
Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘sameorigin‘.
Kimser
03-11 655
Refused to display in a frame because it set 'X-Frame-Options' to 'sameorigin'.
uni-app跨域访问题Refused to display ‘ip address‘ in a frame because it set ‘X-Frame-Options‘ to ‘SAMEORIG
weixin_36756837的博客
12-04 1414
uni-app跨域访问题Refused to display 'ip address' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'. 在uni-app中通过web-view组件访问外部本地H5页面出错 可以在本地的H5页面设置请求头 <% response.setHeader("x-frame-options", "ALLOW-FROM"); %> 1、DENY 表示该页面不允许在frame中展示,即便是在相
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值