通过iframe嵌入三方系统时遇到的跨域问题及解决方案

已于 2023-10-31 17:16:02 修改
阅读量2.4w 收藏 27
点赞数 6
文章标签: vue.js javascript html5
于 2023-10-30 15:23:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45134087/article/details/134117584
版权
本文讲述了在Vue3项目中通过iframe嵌入General和Elasticsearch监控页面遇到的问题,包括X-Frame-Options导致的页面加载失败、Elasticsearch登录问题及跨域获取iframeDOM元素失败。解决方法包括调整X-Frame-Options设置、处理SameSite和SecureCookie策略以及利用CORS进行跨域通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

背景

项目中部署了General 和 Elastic kabana来监控服务器性能,因为部署在不同的服务器,每次查看时需要打开不同的系统,非常麻烦,所以将他们内嵌到中心系统里方便查看。

实现方式

前端使用vue3,通过路由meta获取iframe加载的url。

const frameSrc = ref<string>("");
if (unref(currentRoute.meta)?.frameSrc) {
  frameSrc.value = unref(currentRoute.meta)?.frameSrc as string;
}

<iframe :src="frameSrc" class="frame-iframe" ref="frameRef" />

问题1:通过iframe嵌入后,页面无法正常加载

控制台报错Refused to display 'http://xxx.xxx.xxx.xxx:8008/' in a frame because it set 'X-Frame-0ptions' to 'deny'

原因:
当目标网站设置了X-Frame-OptionsDENYSAMEORIGIN时,会导致目标网址无法被通过iframe加载。

解决方案:
将目标网址的X-Frame-0ptions设置为 ALLOW-FROM uri:表示页面只能被指定uri的iframe嵌入。

问题2:Elastic目标页面可正常加载,但无法登录

查看Elastic kabana官方文档 需将xpack.security.sameSiteCookies 设置为none

Cookie SameSite标记:

SameSite:默认情况下,浏览器要求跨站点的第三方Cookie具有SameSite属性设置(通常为Lax或Strict)。如果子系统返回的Cookie没有设置SameSite属性,或者设置为None并且没有Secure标记,浏览器也会拒绝接受该Cookie。

但这简单的操作之后并无法正常访问,继续排查。

Cookie Secure标记:

Secure标记是指当浏览器向服务器发送请求时,只有使用HTTPS协议的连接才会传递该Cookie。如果服务器返回的Set-Cookie头部没有包含Secure标记,浏览器就会拒绝接收该Cookie,并将其视为不安全的Cookie。

SameSite=none 只支持HTTPS接口。如果要设置该值,需要在对应的Cookie上同时设置Secure属性

解决方案:

将目标地址访问方式升级为https,并添加Secure标记

问题3:获取iframe页面中的dom元素失败

因嵌入的第三方系统与父系统是完全不一样的用户体系,并且没必要做统一认证,所以想要在iframe中直接获取到用户名密码输入框模拟自动登录,但在控制台中报错。

获取方式:


const frameRef = ref<HTMLElement | null>(null);

const iframe = unref(frameRef);
const usernameInput =iframe.contentWindow.document.getElementsByClassName("username");
console.log(usernameInput);

<template>
   <iframe :src="frameSrc" class="frame-iframe" ref="frameRef" />
</template>

错误信息:
Uncaught DOMException: Blocked a frame with origin "http://localhost:8848" from accessing a cross-origin frame

原因:出现这个错误的原因是因为存在跨域安全限制,阻止了不同源的页面访问另一个页面。这是出于安全和隐私的考虑所制定的策略。

解决方案:

  1. 若可修改第三方系统,可改造第三方系统,通过子系统调用 postMessage Api实现向父页面通讯
  2. 将第三方系统与父系统部署到同域下,可实现在父页面操作iframe中的内容

小结

通过iframe嵌入第三方系统时,通常第三方系统为了保障系统安全,一般会禁止被嵌入,可以在保证安全的情况下,修改目标地址的被访问策略来实现

  1. X-Frame-Options限制
  2. 站点会话和Cookie策略
  3. 跨域资源共享(CORS)限制
  4. 跨域限制、Secure标记和SameSite属性
_老逄
关注
页面嵌入三方系统方案小结
紫眸的博客
02-27 8530
1.背景介绍 本文主要介绍页面嵌入到第三方系统的两个方案。分为三个步骤,页面嵌入、请求、访问认证。 2.页面嵌入方案 页面嵌入方案有“iframe标签嵌入”和“SDK代码嵌入”。两种方案的灵活性和性能各不相同,下面介绍一下两者的差异。 2.1.iframe标签嵌入 iframe嵌入是目前使用很广泛的一种嵌入方案,直接使用iframe标签+网页地址就可以嵌入。优点是“主页面嵌入页面相互隔离,不存在脚本冲突,样式影响问题”。缺点...
完美解决iframe问题
04-18
框架完美解决iframe之间的通讯。底层技术采用window.name转换代理实现
iframe与主框架相互访问
12-27
iframe 与主框架相互访问例子,包含同访问,访问例子。
解决问题的这6种方案,真香!
最新发布
Z__7Gk的博客
03-05 1635
简单粗暴:开发环境用CORS注解。生产环境:优先Nginx/网关统一处理,避免每个服务配一遍。老项目兼容:JSONP勉强能用,但别长期依赖。实场景:直接上WebSocket,顺便解决通信问题。安全第一尽量别写,白名单要用精确名。最后提醒温馨提醒一下:问题本质是浏览器行为,和HTTP协议无关。如果你用Postman,发送curl请求,测试没问题,但浏览器报错,别怀疑人生,这可能是前端的锅!
使用iframe在网页中嵌入其他网页的方法
09-28
主要介绍了使用iframe在网页中嵌入其他网页的方法,需要的朋友可以参考下
使用内嵌IFrame,处理系统身份认证的方案与实现
萧逸闲侃
03-15 9709
需求: 系统A与系统B分别部署在不同的两台服务器中,但它们的身份都统一在身份认证服务器中;身份认证信息以Session方式存贮于各自系统中,并辅以cookie进行使用。 当用户在A系统登录后,访问B系统,由于是访问,导致身份信息不能正确的传递到B系统中,从而致使用户需在B系统中重新登录。 解决方案: 处理这类访问,我们最先使用从B系统向C通过HttpR
iframe--登录&设置父窗体样式
ade1133的博客
06-30 1129
【1】iframe,涉及cookie、session携带问题 问题场景:A网站使用iframe嵌入B网站,并且传递登录信息到B网站,实现嵌入B网站后B网站自动登录,B网站无法保持会话信息导致无法登录 问题原因:1.集成iframe,没有声明双方安全协议(tomcat禁用了origin,请求头没有申明p3p)2.参数传递正常,B页面嵌入后,第一次登录失败,在嵌入后的B页面中输入登录信息...
iframe解决方案
01-19
在web开发中,问题是经常遇到的,但是由于浏览器同源策略的限制,不同之间属性和操作是无法直接交互的。本次讨论iframe和父页面的消息通信。
iframe嵌入错误
m0_70903072的博客
08-02 1981
Blocked a frame with origin 正常情况下,如果iframe嵌入页面跟外部页面没有交互情况下 不会存在问题,但是这次嵌入页面调用了一个外部js,里面写了一个方法 window.top.xx。当我们使用 window.parent 或 window.top 来获取父页面的 window 对象,如果两个的名不一样,所以会出现问题。## 子页面传父页面。## 父页面传子页面
深入浅出iframe(+ iframe嵌套第三方页面带cookie问题
qq_45859670的博客
08-30 1万+
iframe标签规定一个内联框架。内联框架就是在一个页面嵌入另一个页面。由于iframe可能在某些方面不符合标准网页设计的理念,已经被HTMLl5抛弃,目前的HTML5不再支持它了。
iframe问题
weixin_39294436的博客
01-18 885
iframe
iframe 解决方法
04-10
NULL 博文链接:https://hqlly.iteye.com/blog/1662337
如何将Superset图表嵌入html
11-22
其次,可能会遇到sasl库安装问题解决方法是下载并安装对应的whl文件。 安装完Superset后,需要创建一个管理员账号,并进行数据库的初始化和升级。Superset默认使用的是SQLite数据库,但它也支持MySQL、PostgreSQL...
vueiframe之间的信息交互的实现
10-15
Vue 中,我们可以获取到 iframe 的 `contentWindow` 对象,然后通过这个对象调用 `postMessage` 方法来发送信息。例如: ```html <iframe ref="iframe" src="https://example.com"></iframe> ``` 在 Vue 的实例...
JavaScript “顽疾”:多种场景下的巧妙突破之法
威哥说编程
11-17 1007
http://与https://不同)名相同端口号相同如果任一条件不相同,则会被视为请求。2. 常见的场景2.1. 通过 Ajax 或 Fetch 发起请求当我们通过或Fetch向不同源发起请求,浏览器会因为同源策略而阻止请求。2.2.嵌入页面如果你使用嵌入了一个页面,你的 JavaScript 代码无法直接访问 iframe 中的 DOM。2.3. Cookie请求可能会涉及到 cookies 的传递。
【前端学习】iframe标签以及postMessage解决iframe中的问题
weixin_45626095的博客
09-26 2158
iframe>是html的一个行内块级元素,像行内元素一样会在一行中水平排列,又可以像块元素一样设置宽高。<iframe>用于在一个网页中嵌入另一个网页<iframe>默认有宽高(根据浏览器样式设定,通常:width300px height150px),存在边界src:指定内联网页地址;:设置为0可以清除iframe的边界(已过)可通过样式修改:width: 宽height:高scrolling:是否可滚动—yesnoauto(根据页面内容)
iframe 标签
热门推荐
过客如期的博客
10-27 8万+
一,什么是iframe 1.iframehtml元素,用于在网页中内嵌另一个网页。 2.iframe默认有一个宽高,存在边界 3.iframe是一个行内快级元素,可以通过display修改 二,iframe元素属性介绍 1.src : 指定内联网页的地址 2.frameborder: iframe默认有个边界,可以设置frameborder为0清除边界。 3.width,height: 控制iframe的宽高。 4.name: 框架的名称 5.scrolling: 是否可滚动,yes ,no , auto
iframe嵌入三方网站
06-25
### 回答1: 当一个网页通过iframe标签将另一个网页嵌入到自己的页面,如果这两个网页分别属于不同的名,那么就会出现问题。因为浏览器会将这两个网页视为不同的源,从而导致在嵌入网页之间进行数据传递出现安全性问题。 为了解决这个问题,我们可以采取如下几种方法: 1. 使用代理服务器:在原有网页中通过Ajax请求向代理服务器发送请求,然后代理服务器将请求转发给目标网页,并且将返回结果传递回来。这种方法比较简单,但是需要额外的服务器资源和间消耗,同也会带来额外的网络延迟。 2. 使用JSONP技术:JSONP允许我们在页面中通过Script标签引入另一个网页的数据,从而实现数据交换。但是这个方法只适用于传递JSON格式的数据,而且需要目标网页支持JSONP通信。 3. 使用postMessage方法:postMessage是HTML5中新增加的方法,可以通过安全的方式在不同的窗口之间进行文档通信。我们可以在嵌入的网页中使用postMessage方法向原网页发送消息,并且在原网页中又可以使用onmessage事件监听到这些消息,从而完成数据传递。这个方法比较安全,而且不需要额外的服务器资源,但是需要浏览器的支持。 总之,为了避免问题带来的安全隐患,我们需要选择合适的方式来进行数据通信。 ### 回答2: 当一个网页中嵌入了另一个名下的页面,就会涉及到问题。在iframe嵌入三方网站,不允许使用JavaScript访问嵌入页面内容。这是因为浏览器的同源策略限制了对不同名下页面的访问。 为了解决iframe嵌入三方网站问题,可以采用以下方法: 1.代理。通过后端代理,将第三方页面内容转发到自己网站的页面中展示。这种方法需要后端实现,对服务器性能要求较高。 2.JSONP。使用动态脚本,将第三方网页内容以JSONP方式返回到自己网站上展示。这种方法需要第三方网站允许在URL参数中携带回调函数名。 3.postMessage。使用HTML5中提供的API,文档通信,向嵌入的第三方页面发送消息或从页面接收消息。这种方法支持现代浏览器,对前端代码要求较高。 总的来说,针对不同的情况,可以采用不同的方法解决iframe嵌入三方网站问题。 ### 回答3: iframe嵌入三方网站指的是在一个网页中嵌入了来自另外一个名下的网页,这就涉及到了浏览器的同源策略限制。同源策略(Same Origin Policy)是指一个网站的脚本只能操作同源网站的文档或者其他资源。 如果一个网页要嵌入来自不同名的iframe内容,会受到同源策略的限制,导致该iframe无法正常加载,甚至导致整个网页无法运行。 为了解决这个问题,需要通过资源共享(CORS)、JSONP等技术解决。其中,CORS是一种机制,允许服务器进行指定源和目标服务器之间的数据传输。在这种情况下,服务器通过特殊的HTTP头授权浏览器访问资源。而JSONP则是一种利用网页动态加载script标签的技术实现的请求的方式。 另外,还可以通过在URL中添加参数的方式传递数据,以避免直接访问不同名间的数据。然而,这种方法只适用于简单的数据传输,不适用于涉及到敏感信息的内容。 总之,iframe嵌入三方网站是一个在Web开发中经常会遇到的问题解决这个问题需要综合考虑当前应用场景和技术实现方式,选用合适的解决方案
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值