X-Frame-Options 响应头-----与iframe相遇

最新推荐文章于 2024-06-14 07:32:52 发布
最新推荐文章于 2024-06-14 07:32:52 发布
阅读量453 收藏
点赞数
文章标签: 前端 python php ViewUI
原文链接:https://my.oschina.net/tianyuqin/blog/906528
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

在使用iframe嵌套页面的时候,发现一个网站的怎么样都嵌套不进去iframe的框架中,而其他的网页都可以直接嵌套进去,开始以为是跨越的问题,结果不找不知道,原来在服务器端的配置问题也可以导致iframe嵌套无法使用。

   接下来,就是发现问题。

  在嵌套后点击跳转页面的时候就会出现: because it set 'X-Frame-Options' to 'SAMEORIGIN' 的错误,

在一篇英文文档中找到了问题的所在:

https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet

 哈哈,表示并没有将这个文档看完,只是找到了关键字

翻译出来就是:只允许当前站点对内容进行框架。

在此基础上找到了一篇中文文档:

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options

可以确认的是:这个值虽然是在apache,nginx 之类的服务器中配置,却直接影响了iframe嵌套的使用.

X-Frame-Options 有三个值:

DENY

表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

SAMEORIGIN

表示该页面可以在相同域名页面的 frame 中展示。

ALLOW-FROM uri

表示该页面可以在指定来源的 frame 中展示。

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

 

结束语:

最后的结果是把服务器上的配置改了,不知道这样有没有其他的问题发生,安全性可能会有点差了吧。。。。

在网上还找到其他的控制网站不能被其他框架嵌套的方法,不过暂时没有使用过,无法辩论其真假。

前端的东西还多着呢,还有很多的知识点需要不断的积累,如果有大神看到,还请多多留言,指点一二!

 

 

 

转载于:https://my.oschina.net/tianyuqin/blog/906528

weixin_34195364
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe ...
X-Frame-Options相关文件
08-27
X-Frame-Options HTTP响应就是为了解决这个问题而引入的,它允许网站管理员控制他们的页面是否可以在其他站点的框架(frameiframe)中显示。 描述中提到的"X-Frame-Options缺失 in a frame because it set 'X...
iframe X-Frame-Options
qq_30436011的博客
10-24 1215
下面介绍下X-Frame-Options主要用处是用于防止点击劫持,**点击劫持(ClickJacking)**是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。HTTP响应信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。那么怎样自定义配置呢?
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 1万+
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
安全响应(二)​X-Frame-Options
最新发布
dzqxwzoe的博客
06-14 1056
一 [X-Frame-Options](https://developer.mozilla.org/en-①[相关参考 ](https://learn.microsoft.com/zh-cn/archive/blogs/ieinternals/combating-clickjacking-with-x-frame-options "相关参考 ")② 简介③ 语法④ 案例。
使用Iframe时针对X-Frame-Options跨域问题的解决方案-Nginx(亲测有效)
weixin_44588243的博客
04-28 1万+
只需一个配置,轻松解决X-Frame-Options跨域问题 效果展示: 1、存在问题: 2、解决问题 对iframe引入的http://com.ityj.frame/xframe/hello项目,通过nginx过滤掉X-Frame-Options的配置 操作如下: location / { #root html; #index index.html index.htm; proxy_pass http://com.ityj.frame; proxy_hide_header X-Fr
iframe嵌套页面 拒绝访问 X-Frame-Options配置
天生欧皇张狗蛋
04-19 1215
deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。sameorigin 表示该页面可以在相同域名页面的 frame 中展示。allow-from uri 表示该页面可以在指定来源的 frame 中展示。
解决iframe 请求security出现X-Frame-Options
我是一只蘑菇17的博客
09-27 1207
>>>> Springboot 2.x 要在继承了 WebSecurityConfigurerAdapter 的配置类中配置。插入.and().headers().frameOptions().在开发SpringSecurity配置的项目时,返回带有。结合SpringBoot只要在页面访问控制的配置中加上。()//防止iframe内容无法显示,解决问题!()//防止iframe内容无法显示。的页面时,无法显示。打开页面工具看到提示。
X-Frame-Options未设置 防止网页被iframe内框架调用
09-30
大部分现代浏览器,包括IE8.0+、Firefox 3.6.9+、Opera 10.50+、Safari 4.0+ 和 Chrome 4.1.249.1024+,都已经支持X-Frame-Options响应。然而,对于不支持此功能的较旧浏览器,可能需要采用其他安全策略,如...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
修复X-Frame-Options未配置的漏洞主要涉及在服务器配置文件中添加相应的响应。以下是一些常见服务器的配置方法: - **Apache**:在Apache的`.htaccess`或`<VirtualHost>`、`<Directory>`等配置段中,使用`Header`...
x-frame-bypass:绕过X帧选项
05-10
在Node.js中,特别是使用Express框架构建的Web应用,可以通过设置响应来控制`X-Frame-Options`。例如: ```javascript const express = require('express'); const app = express(); app.use((req, res, next) =...
X-Frame-Options响应防点击劫持
道阻且长,行则将至。
02-21 5249
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 未配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
iframe嵌套详解
欢迎欢迎
06-29 9253
通常我们使用iframe直接直接在页面嵌套iframe标签指定src就可以了。但是,有追求的我们,并不是想要这么low的iframe. 我们来看看在iframe中还可以设置些什么
X-Frame-Options简介
顺其自然~专栏
09-13 3501
表示该页面可以在相同域名页面的 frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame中展示。,那么页面就可以在同域名页面的 frame 中嵌套。
关于嵌套使用 iFrame 出现 Refused to display in aframe 拒绝连接访问 和 ‘X-Frame-Options‘ to ‘SAMEORIGIN‘ 的解决方案【已解决】
热门推荐
XH_jing的博客
05-26 2万+
目录问题描述原因分析问题解决总结 今天在迁移旧项目时,出现了如下错误提示: Refused to display in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN' 问题描述 当前项目是一个生产环境正常运行的项目,由于我们要迁移服务器并且部署 k8s,所以需要重新部署上线该项目。 使用 iframe 的场景就是在一个容器中展示另一个页面(也是我们自己的页面,只不过域名不同)才会抛出这个错误。 这个项目的在测试环境和生产环境都是可以正
Django:六、使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set ‘X-Frame-Options‘ to ‘deny‘.
浩栋的博客
09-21 6875
使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set 'X-Frame-Options' to 'deny'.
.net Iframe 'X-Frame-Options' to 'SAMEORIGIN' 解决办法
qq_32915337的博客
04-10 2万+
Refused to display 'http://xxx.cn/' in a frame because it set 'X-Frame-Options' to 'sameorigin'. 证明此页面不能被Iframe 解决方法: 1.在被Iframe的web.config 中取消行<add name="X-Frame-Options" value="SAMEORIGIN" /&g...
使用 X-Frame-Options 防止被iframe 造成跨域iframe 提交挂掉
qq_36114537的博客
07-08 1116
一 使用方式及相关说明# 具体参考https://www.cnblogs.com/JealousGirl/p/useGridster.html,挺完整的 二 使用问题 1.iframe卡顿问题 由于我做的项目需要把拖动元素里放iframe直接打开子页面,避免父子页面项目影响造成各种奇奇怪怪的问题,但是拖拽包含iframe会很卡,此时在父页面加上 iframe{pointerevents:none;...
x-frame-optionsiframeiframe的一些操作
weixin_30561177的博客
07-12 833
iframe的子操作父窗口,父操作子窗口: test.php: <!DOCTYPE html> <html> <head> <title>test</title> </head> <body> <input type="text" name="csrf" id="csrf...
X-Frame-Options响应 怎么设置
06-09
要设置X-Frame-Options响应,可以通过服务器端的配置或在代码中添加响应来实现。具体方法如下: 1. 通过服务器配置设置X-Frame-Options响应。例如,在Apache服务器上,可以在httpd.conf或.htaccess文件中添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值