1 Refused to display ‘url’ in a frame because it set 'X-Frame-Options' to 'sameorigin' 怎么解决?...

最新推荐文章于 2025-09-17 04:07:30 发布
转载 最新推荐文章于 2025-09-17 04:07:30 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/yuchenghao/p/11412518.html
文章标签:

#前端 #ViewUI

在开发文件中心组件时,遇到预览缩略图因X-Frame-Options设置为'sameorigin'导致的跨域问题。解决方法是在中间件中修改响应头,添加允许跨域的响应头配置,通过创建响应头增删集合类、中间件及在Startup的Configure方法中注册中间件来实现。测试阶段可设置为'AllowAll',实际开发中需根据需求配置。
部署运行你感兴趣的模型镜像

进在开发公司的文件中心组件,提供各个子系统的附件上传下载、预览、版本更新等功能,前端在今天突然给我发一张图,说预览缩略图遇到问题了,然后发了个截图给我:

这很明显是一个跨域问题,

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe>或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

X-Frame-Options 有三个值:

DENY

  表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN

  表示该页面可以在相同域名页面的 frame 中展示(一般默认是这种)。

ALLOW-FROM uri

  表示该页面可以在指定来源的 frame 中展示。

此处很明显需要在中间件里面修改一下响应头的X-Frame-Options属性,core的中间件流程如下:

所以我们需要实现一个响应头的增删集合类:

    /// <summary>
    /// 响应头的增删集合
    /// </summary>
    public class SecurityHeadersPolicy
    {
        public IDictionary<string, string> SetHeaders { get; }
             = new Dictionary<string, string>();

        public ISet<string> RemoveHeaders { get; }
            = new HashSet<string>();
    }

 

然后实现一个增删响应头的中间件:

/// <summary>
    /// 中间件实现
    /// </summary>
    public class SecurityHeadersMiddleware
    {
        private readonly RequestDelegate _next;
        private readonly SecurityHeadersPolicy _policy;

        public SecurityHeadersMiddleware(RequestDelegate next, SecurityHeadersPolicy policy)
        {
            _next = next;
            _policy = policy;
        }

        public async Task Invoke(HttpContext context)
        {
            IHeaderDictionary headers = context.Response.Headers;

            foreach (var headerValuePair in _policy.SetHeaders)
            {
                headers[headerValuePair.Key] = headerValuePair.Value;
            }

            foreach (var header in _policy.RemoveHeaders)
            {
                headers.Remove(header);
            }

            await _next(context);
        }
    }

提供响应头的增删方法:

    /// <summary>
    /// 响应头的增删方法
    /// </summary>
    public class SecurityHeadersBuilder
    {
        private readonly SecurityHeadersPolicy _policy = new SecurityHeadersPolicy();
        public SecurityHeadersBuilder AddCustomHeader(string header, string value)
        {
            _policy.SetHeaders[header] = value;
            return this;
        }
        public SecurityHeadersBuilder RemoveHeader(string header)
        {
            _policy.RemoveHeaders.Add(header);
            return this;
        }
        public SecurityHeadersPolicy Build()
        {
            return _policy;
        }
    }

然后我们需要一个中间件的拓展方法:

    /// <summary>
    /// 中间件拓展方法
    /// </summary>
    public static class UseSecurityHeaders
    {
        public static IApplicationBuilder UseSecurityHeadersMiddleware(this IApplicationBuilder app, SecurityHeadersBuilder builder)
        {
            SecurityHeadersPolicy policy = builder.Build();
            return app.UseMiddleware<SecurityHeadersMiddleware>(policy);
        }
    }

然后就是在startup的Configure方法中注册我们的中间件:

            //允许iframe嵌入资源
            app.UseSecurityHeadersMiddleware(new SecurityHeadersBuilder()
              .AddCustomHeader("X-Frame-Options", "AllowAll")
            );

我在这里使用的值是“AllowAll” 而不是“ALLOW-FROM uri” 是为了方便测试,如果开发的话应该是需要进行配置的,到这里再嵌入网页即可成功。

转载于:https://www.cnblogs.com/yuchenghao/p/11412518.html

您可能感兴趣的与本文相关的镜像

Langchain-Chatchat

Langchain-Chatchat

AI应用
Langchain

Langchain-Chatchat 是一个基于 ChatGLM 等大语言模型和 Langchain 应用框架实现的开源项目,旨在构建一个可以离线部署的本地知识库问答系统。它通过检索增强生成 (RAG) 的方法,让用户能够以自然语言与本地文件、数据库或搜索引擎进行交互,并支持多种大模型和向量数据库的集成,以及提供 WebUI 和 API 服务

关于嵌套使用 iFrame 出现 Refused to display in aframe 拒绝连接访问 ‘X-Frame-Options‘ to ‘SAMEORIGIN‘ 的解决方案【已解决
XH_jing的博客
05-26 3万+
目录问题描述原因分析问题解决总结 今天在迁移旧项目时,出现了如下错误提示: Refused to display in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN' 问题描述 当前项目是一个生产环境正常运行的项目,由于我们要迁移服务器并且部署 k8s,所以需要重新部署上线该项目。 使用 iframe 的场景就是在一个容器中展示另一个页面(也是我们自己的页面,只不过域名不同)才会抛出这个错误。 这个项目的在测试环境生产环境都是可以正
Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'.
YangFanJ的博客
06-29 1万+
说明:前端使用layui。tab嵌套iframe,在加入security之前并无异常。springmvc 在整合spring security时,浏览器发送请求,出现解决:在继承WebSecurityConfigurerAdapter的子类的覆盖方法configure(HttpSecurity)里面添加:http.headers().frameOptions().sameOrigin();百度查找...
Refused to display '' in a frame because it set 'X-Frame-Options' to 'sameorigin'
lilongan_1的博客
10-23 2万+
x-frame-options 出现的问题 夸子系统访问其他子系统的界面(用iframe嵌套,子系统间有一键登录),用iframe嵌套访问springboot项目的中的某个界面时报Refused to display ‘’ in a frame because it set ‘X-Frame-Options’ to ‘sameorigin.。 出现问题的原因 这是因不支持iframe嵌入, 这个...
Tomcat中的HTTP响应头X-Frame-Options配置详解
gitblog_00058的博客
09-17 1236
在Web安全领域,点击劫持(Clickjacking)是一种常见的攻击手段,攻击者通过将目标网站嵌入到恶意页面的iframe中,诱导用户在不知情的情况下点击被精心伪装的按钮或链接。X-Frame-Options HTTP响应头正是为防御此类攻击而生,它允许网站管理员控制自己的内容是否可以被其他网站嵌入到iframe中。 **X-Frame-Options有三个可能的值**: - `DENY`:完...
layui 的嵌套页面异常Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘DENY‘
尽力漂亮的博客
10-15 1049
响应头中X-Frame-Options被设置为DENY,如下图 解决方案: import org.springframework.boot.autoconfigure.EnableAutoConfiguration; import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration; import org.springframework.context.annotation.Configura
in a frame because it set 'X-Frame-Options' to 'sameorigin'
热门推荐
mxh的博客
02-12 7万+
我是打算在php网站中的一个HTML文件使用iframe标签调用django网站时遇到的问题,这句话说得好像有点繁琐,就是使用iframe时遇到的问题。查了很多相关资料,又说php网站的,有说html中没有设置,有说apache中需要配置,我全部尝试一遍之后都没有解决,后知后觉,发现django中间件问题。先了解一下背景知识。 1.同源策略 什么叫同源? URL由协议、域名、端口路径组成,...
in a frame because it set 'X-Frame-Options' to 'sameorigin'.
隔壁张同学
07-19 5万+
今天项目中出现一个用iframe嵌套帆软报表页面出现Refused to display in a frame because it set ‘X-Frame-Options’ to ‘SAMEORIGIN’ 于是就记录下来。 百度了很久,大致分为 X-Frame-Options是什么? X-Frame-Options是一个HTTP标头(header),用来告诉浏览器这个网页是否可以放在iFram...
5Refused to display '<URL>' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
最新发布
10-29
Refused to display 'http://192.168.110.204:8000/AI-rotator.html' in a frame because it set 'X-Frame-Options' to 'sameorigin' ``` 意思是:**你试图在一个 `<iframe>` 中加载你的页面,但服务器返回了响应头...
iframe Refused to display in a frame because it set 'X-Frame-Options' to 'sameorigin'.
02-19
当遇到 `X-Frame-Options` 设置为 `sameorigin` 的问题时,意味着目标网页只允许在同一域名下的页面中通过 `<iframe>` 嵌入。要解决这个问题,有几种方法可以尝试: #### 方法一:修改服务器端响应头 如果拥有对...
Refused to display xxx in a frame because it set X-Frame-Options to deny
07-27
- *2* *3* [解决 Refused to display in a frame because it set 'X-Frame-Options' to 'deny'.问题](https://blog.csdn.net/lizy928/article/details/82535089)[target="_blank" data-report-click={"spm":"1018....
跨域问题-Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘SAMEORIGIN
荷塘月色
12-14 1万+
第二个例子告诉浏览器只有当架设iFrame的网站与发出X-Frame-Options的网站相同,才能显示发出X-Frame-Options网页的内容。第三个例子告诉浏览器这个网页只能放在 http://caibaojian.com// 网页架设的iFrame内。第一个例子告诉浏览器不要(DENY)把这个网页放在iFrame内,通常的目的就是要帮助用户对抗点击劫持。关掉了才解决,开始想着翻越过这个问题,最终发现这个是安全机制,翻越不了。还是不行,最终的解决方案是去帆软报表的服务器上面把安全设置里面的。
浏览器IFrameRefused to display URL in a frame because it set X-Frame-Options to SAMEORIGIN 的错
高压锅博客
05-31 5276
1.问题:谷歌浏览器报错信息: Refused to display 'ip address' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'. 2. 解决方法: 在’settings.py’文件中,代码最后添加这两行.就完美的解决了 X_FRAME_OPTIONS = 'ALLOWALL' XS_SHARING_ALLOWED_METHODS = ['POST','GET','OPTIONS', 'PUT', 'DELETE']
Refused to display ‘‘ in a frame because it set ‘X-Frame-Options‘ to ‘sameorigin
qq_53513969的博客
05-30 3670
Refused to display '' in a frame because it set 'X-Frame-Options' to 'sameorigin'
url嵌套时报错:in a frame because it set 'X-Frame-Options' to 'sameorigin' python跨域设置
weixin_37994148的博客
12-03 3646
1settings配置 #页面允许被跨域访问 X_FRAME_OPTIONS='ALLOWALL' setting里增加代码: # 跨域增加忽略 start X_FRAME_OPTIONS = 'ALLOWALL' CORS_ALLOW_CREDENTIALS = True CORS_ORIGIN_ALLOW_ALL = True CORS_ORIGIN_WHITELIST = ...
in a frame because it set ‘X-Frame-Options‘ to ‘sameorigin-- geoserver
xinleicol的博客
06-28 1852
geoserver中出现’X-Frame-Options’ to 'sameorigin’的问题 问题 编写代码时,想通过点击查看影像的像素值,这对高程栅格影像十分有作用,发现在geoserver给的openlayers源码中,有这样的功能,但是问题是:自己编写的代码中无法加载,出现了以上错误!原代码是: document.getElementById('nodelist').innerHTML = '<iframe seamless src="' + url + '"></ifra
Electron iframe报错Refused to display ‘**‘ in a frame because it set ‘X-Frame-Options‘ to ‘sameorigin
youyudexiaowangzi的专栏
09-11 1万+
Electron中试用iframe标签,访问https://www.baidu.com/结果iframe标签显示空白,并且报错 :9080/#/:1 Refused to display 'https://www.baidu.com/' in a frame because it set 'X-Frame-Options' to 'sameorigin'. 大意已同源策略的限制,可以通过服务器端的配置允许iframe访问,但是如果访问第三方的url,就无法控制了,electron中可以通过web.
解决xxx in a frame because it set X-Frame-Options to sameorigin 问题之配置X-Frame-Options头
超越的博客
06-03 1万+
配置http的响应头信息:属性名X-Frame-Options。 可以配置的参数有两个,选第二个参数就行了: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 /** * 配置“X-Frame-Options头” */ @WebFilter(filterName = "FrameFilter", urlPatterns = "/*") public class Fra
Refused to display 'XXX' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
SDFGS54DGF5S4的博客
12-16 1640
Refused to display ‘XXX’ in a frame because it set ‘X-Frame-Options’ to ‘sameorigin. 今天在学习前后端分离的项目的时候遇到了Refused to display ‘XXX’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.的问题,然后百度一通发现是spr...
Refused to display in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'
打杂人
03-27 1万+
I am developing a website that is supposed to be responsive so that people can access it from their phones. The site has got some secured parts that can be logged into using Google, Facebook, ...etc (
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值