在Django中使用framework时报错:Refused to display ‘http://xxx’ in a frame because it set ‘X-Frame-Options’ to ‘deny’
原因:项目中的“X_FRAME_OPTIONS”设置不对
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在frame 中展示
“X_FRAME_OPTIONS”有三个选项值:
- DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许
- SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示
- ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示
在Django 3.0中,X_FRAME_OPTIONS的默认值为DENY。
解决方案:
- 总体设置:直接在项目配置文件"settings.py"中添加如下代码即可,值参考以上三个选项:
X_FRAME_OPTIONS = 'SAMEORIGIN'
- 指定网页的设置:
先在需要设置的方法文件中引入以下代码:
from django.views.decorators.clickjacking import xframe_options_exempt
from django.views.decorators.clickjacking import xframe_options_deny
from django.views.decorators.clickjacking import xframe_options_sameorigin
再在需要设置的方法上方根据需求添加修饰器即可:
@xframe_options_exempt
def fun()...
@xframe_options_deny
def fun()...
@xframe_options_sameorigin
def fun()...