网页内嵌第三方iframe的注意事项

已于 2023-01-28 18:02:50 修改
阅读量787 收藏
点赞数
文章标签: 前端 flask Powered by 金山文档
于 2023-01-28 17:51:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43478725/article/details/128780302
版权

参考资料:

Cookie 的 SameSite 属性 - 阮一峰的网络日志 (ruanyifeng.com)

记录一下项目组在测试嵌入自主开发的iframe插件时遇到的一个问题。

首先需要交代一下背景:在Chrome51之后,为了防止CSRF攻击和用户追踪,浏览器的cookie新增加了一个属性,叫SameSite,有三个取值选择:Strict/Lax/None,其中,Chrome的SameSite属性默认为Lax,Safari默认为Strict,Edge不确定默认是啥(但是肯定不会是None),因此在嵌入之初,因为iframe的域名和父页面网站域名不一样,在打开iframe的时候会报500 Internal Server Error(如果域名一致不会报错,因此这是一个隐藏的问题),导致原本在本地可以正常使用的插件失效(其实是cookie传输失败)。

解决方式

在配置应用时,添加一句

application.config.update(SESSION_COOKIE_SAMESITE="None", SESSION_COOKIE_SECURE=True)

None允许第三方发送cookie,同时需要设置SECURE=True(cookie只能通过https协议发送)

这样就可以正常在域名不一致的网站使用开发的插件(虽然这个方式也不是特别推荐,但是因为有secure保证,所以在安全性上会提高不少)

一只野生的桔子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
VUE使用 iframe 嵌入网页
lilylry的博客
08-11 1万+
但若嵌入网页第三方网页,对方的操作可能存在安全风险。为了限制的风险,HTML 提供了sandbox属性,允许设置嵌入网页的权限,等同于提供了一个隔离层,即“沙箱”。allow-storage-access-by-user-activation:允许在用户激动的情况下,嵌入网页通过 Storage Access API 访问父窗口的储存。问题:容器云嵌入该工程时使用iframe嵌入嵌入的路径是动态的,路由的代理会产生问题,运维功能嵌入其他平台时,路径也是动态的同样也需要配置。
一次由iFrame嵌入网页引起的跨域问题解决
AGreatLoser
06-08 7075
B系统正常的登录逻辑是验证账户和密码后,给前端返回Set-Cookie,设置登录态信息,后续无需重复登录。需要注意的是,设置 SameSite=None 的前提是,该页面使用https协议,且 设置 Secure 属性为 True, 如上图红框所示。原来通过iFrame访问B系统页面的时候,浏览器识别到为跨域请求,所以Set-Cookie失效,无法保持登录态。但从A系统页面访问的时候,iFrame中的B系统页面登录失效,一直循环在登录页面。在单独的页面中打开B系统可以正常登录,且持有、保持登录态。
解决vue前端iframe框架嵌套第三方网址拒绝访问
最新发布
HD243608836的博客
04-16 2659
Refused to display '嵌套的网址' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
iframe跨域访问示例
04-28
iframe跨域访问示例
使用 <iframe /> 嵌套页面的一点总结
weixin_43714836的博客
11-22 1万+
iframe 标签嵌套页面,可能会遇到 x-frame-options 的值为 deny、sameorigin 情况,此时可能出现:xxx.xxx.xxx 拒绝了我们的连接请求。往往被嵌套页面的设置决定了是否能嵌套。
iframe嵌套其它网站页面及相关知识点详解
Quentin0823的博客
01-31 2万+
在一个页面中嵌套另外一个页面,就要使用到框架 标签。 标签规定一个内联框架。一个内联框架被用来在当前 HTML 文档中嵌入另一个文档。
解决iframe嵌套第三方网页,导致鉴权失败无法登录的问题
老衲的少女心i~
05-23 1万+
目录前言一、iframe是什么?二、401 (Unauthorized)三、解决总结 前言 最近遇到的一个问题,老项目的第三方iframe嵌入网页,无法正常登录了。 定位问题,发现: 控制台报错401 (Unauthorized),导致的无法正常登录。是因为我们iframe的问题,产生了跨域,导致我们的cookie无法共享。 提示:以下是本篇文章正文内容,下面案例可供参考 一、iframe是什么? HTML 内联框架元素 (< iframe >) 表示嵌套的browsing contex
通过iframe嵌入三方系统时遇到的跨域问题及解决方案
_老逄
10-30 1万+
总结在iframe嵌入第三方系统时遇到的跨域访问问题
微信网页第三方登录原理
01-27
微信网页第三方登录原理详解 微信网页第三方登录是微信开放平台提供的一种身份验证机制,它允许用户使用微信账号安全地登录第三方应用或网站。这一机制基于OAuth2.0协议,为开发者提供了一种便捷的方式来实现用户...
JS动态修改iframe内嵌网页地址的方法
10-24
主要介绍了JS动态修改iframe内嵌网页地址的方法,涉及javascript动态修改iframe中src属性的技巧,具有一定参考借鉴价值,需要的朋友可以参考下
MFC内嵌第三方EXE窗口
06-15
在本文中,我们将深入探讨如何在Microsoft Foundation Class (MFC) 应用程序中内嵌第三方的EXE程序,如记事本(Notepad.exe),并解决与之相关的刷新、移动等问题。MFC是Microsoft为Windows开发应用程序提供的一套C++...
MFC 内嵌第三方Exe程序 VC2010
07-09
本项目探讨了一个特殊的技术:如何在MFC应用程序中内嵌并运行一个第三方的EXE程序,使其作为子窗口展示。这个技术可以增强应用程序的功能,提供更丰富的用户体验。 首先,"MFC内嵌第三方Exe程序"涉及到的主要概念是...
qt程序中嵌入第三方exe外壳实例程序
06-17
在本文中,我们将深入探讨如何在Qt程序中嵌入第三方的EXE外壳程序,并通过一个名为"QtEmbedOutDemo"的实例项目来演示这一过程。这个项目涉及到的主要知识点包括Qt框架、窗口部件(Widget)的使用、进程间通信(IPC)...
iframe跨域问题
qq_33438449的博客
11-19 2万+
(摘抄大佬vicky_lxw用户的解释) 1、首先保证嵌入的页面和vue同一项目中,不存在跨域问题。 2、如果是iframe不传递参数的话,是可以src嵌入不同的网页的,例如你嵌入一个baidu,只要没有数据交互也是可以的 3、如果有少量数据交互,看能否通过url传递参数来实现 4、总之尽量绕过去,如果绕不过去,只能具体问题具体分析了。 5、跨域也是有很多解决方案的,但是仅仅是嵌入一个iframe是没有跨域问题的,js是支持iframe互相传递参数的 6、如果是系统前后分离,才考虑跨域,用反向代理服务器就搞
iframe嵌入页面跨域通信
m0_51431448的博客
09-07 6006
在项目中可能会通过iframe直接将另一个页面嵌入进来,某些场景下还可能会进行一些消息的传递通信。之前做过一次,就是我们开发的主系统,然后下面还有很多子系统,子系统都是通过iframe嵌入进来的,然后为了实现某些需求,需要将token传递给子系统,拱子系统使用,但是当时一直忙着开发,忘记记录了,所以这篇算是补上吧嵌入进来的页面的window跟我们现在的window已经不是同一个了,更不是同一个document。
解决iframe嵌套第三方网址不能访问
热门推荐
Davi的博客
05-11 2万+
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站的 iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。2.SAMEORIGIN:只允许同源网站嵌入
同源策略及其绕过详解
yufumusui的博客
12-06 5177
同源策略及其绕过详解 前言 最近在看吴翰清写的 白帽子讲 web安全 一书,遇到同源策略一词,我便开始深入学习相关内容,查阅了许多资料后,写该博客梳理、记录所学知识 基础知识 Origin(源) Origin: < scheme > “????/” <host> [ “:” < port > ],origin由用于访问它的URL的scheme(协议)、port(端口)、host(IP或域名)定义 scheme:请求所使用的协议,通常是HTTP协议或者它的安
禁止网站被iframe嵌套的解决方法
不怕麻烦的鹿丸的博客
12-19 8967
有时候我们开发的网站可能会被别人利用嵌入到其他网站中,也就是别人镜像我们的网站,造成点击劫持风险。
mfc内嵌第三方exe窗口
06-28
### 回答1: 在MFC中嵌入第三方exe窗口是一项比较常见的操作。实现的思路是使用Windows API中的FindWindow函数寻找到第三方程序的窗口句柄,然后再将其嵌入到MFC应用程序中。 具体实现过程如下: 1. 在MFC应用程序的类中添加一个变量,用于存储第三方程序的窗口句柄; 2. 在应用程序启动时,使用FindWindow函数通过窗口标题或者类名寻找到第三方程序的窗口句柄,并将其存储在变量中; 3. 在MFC应用程序的对话框类中添加一个控件,用于显示第三方程序的窗口; 4. 在对话框的OnInitDialog函数中,使用SetParent函数将第三方程序的窗口嵌入到控件中; 5. 在对话框的OnSize函数中,使用MoveWindow函数重新设置第三方程序窗口的大小和位置,以便它与控件的大小匹配。 需要注意的是,在使用第三方程序的窗口时,需要确保其使用的API以及消息不会与MFC应用程序产生冲突,以免出现意想不到的错误。此外,如果第三方程序出现异常或崩溃,需要使用异常处理机制及时处理,以保证MFC应用程序的稳定性。 ### 回答2: MFC内嵌第三方exe窗口是指在MFC应用程序中嵌入运行独立的第三方可执行文件的窗口。这种技术可以增强应用程序的功能,使用户可以在一个程序中同时使用多个独立的应用程序。 要在MFC应用程序中内嵌第三方exe窗口,需要使用Windows API中的一些函数,例如FindWindowEx和SetParent。这些函数允许程序找到并将第三方应用程序的窗口与MFC应用程序的窗口关联起来。 在实现该功能时需要注意以下几点: 首先,必须确保第三方应用程序是可嵌入的,即其窗口可以被其他程序的窗口所承载。否则,它将不能被正确地内嵌到MFC应用程序中。 其次,需要注意内嵌窗口的大小和位置。通常情况下需要将其尺寸调整为适应MFC应用程序的大小,并将其移动到正确的位置。 最后,需要确保内嵌窗口的消息处理可以正确地与MFC应用程序的其他部分进行协调。这通常需要编写一些处理程序来处理内嵌窗口的消息和事件。 总之,MFC内嵌第三方exe窗口技术虽然有一定的难度,但可以为应用程序带来许多增强的功能和更好的用户体验。通过深入研究该技术,可以帮助开发人员更好地掌握MFC框架的使用,并为自己的应用程序增添新的特性。 ### 回答3: 在MFC中嵌入第三方exe窗口需要使用到一些Win32 API函数和MFC类。首先,需要使用FindWindow函数在当前系统中查找到需要嵌入的应用程序的主窗口句柄。接下来,使用SetParent函数将该窗口的父窗口设置为当前MFC窗口的句柄,这样可以将第三方程序的窗口嵌入到MFC窗口中。在嵌入过程中,需要使用GetDlgItem函数和SetWindowPos函数对子窗口位置进行调整,确保第三方程序的窗口正确展示在MFC窗口中。 值得注意的是,某些第三方程序可能会有特殊的窗口处理方式,例如不支持SetParent函数,这种情况下需要考虑使用其他的嵌入方式。 总之,在MFC程序中嵌入第三方程序的窗口需要熟悉Win32 API函数和MFC类的使用,同时需要特别注意第三方程序的处理方式,确保窗口嵌入成功且稳定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一只野生的桔子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值