Iframe跨域_ASP.NET

最新推荐文章于 2024-08-13 16:06:04 发布
最新推荐文章于 2024-08-13 16:06:04 发布
阅读量251 收藏
点赞数
文章标签: 测试 运维

1.描述:

A系统 需要 调用 B系统的页面,被调用的B系统的页面b.html内部嵌套了iframe框架c.aspx地址页

2.问题呈现:

ie浏览器下

Chrome浏览器下 追踪

3.问题原因:

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame><iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

4.解决办法:

使用 X-Frame-OptionsEDIT

X-Frame-Options 有三个值:

DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri
表示该页面可以在指定来源的 frame 中展示。

换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

配置 Apache

配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 'site' 的配置中:

Header always append X-Frame-Options SAMEORIGIN

配置 nginx

配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options SAMEORIGIN;

配置 IIS

配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>

5.解决步骤:

本地设置 即A系统   

X-Frame-Options 响应头

A系统 服务器 IIS 配置

 

 

 

或者直接 网站配置页面 web.config 修改

 

 

本地X-Frame-Options 响应头  配置完毕
但是发现 问题依然存在,发现 是B系统 不允许点击劫持  且安装SharePoint 服务,修改IIS   X-Frame-Options 配置无效 
修改方案,跳入B系统 设置,母版页 添加代码 
<%@ Register Tagprefix="WebPartPages" Namespace="Microsoft.SharePoint.WebPartPages" Assembly="Microsoft.SharePoint, Version=15.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" %>
<WebPartPages:AllowFraming runat="server"/>

该修改 参考网站 http://sharepoint.stackexchange.com/questions/56644/how-can-i-configure-x-frame-options-allow-from-on-my-sharepoint-installation

 

ok 问题解决

 

附上 MVC解决方案  feng005211的专栏  .NET MVC Iframe 'X-Frame-Options' to 'SAMEORIGIN' 解决办法

 

参考:

1.  http://www.server110.com/web_sec/201310/2843.html

2.   玄魂的思想   Web应用安全之点击劫持(CLICKJACKING)与X-FRAME-OPTIONS HEADER

3.  https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options?redirectlocale=en-US&redirectslug=The_X-FRAME-OPTIONS_response_header

4.  http://sharepoint.stackexchange.com/questions/56644/how-can-i-configure-x-frame-options-allow-from-on-my-sharepoint-installation

5.  从零开始的生活是充实的!      在其他系统Iframe中显示SharePoint 页面

6.  http://sharepoint.stackexchange.com/questions/72987/is-there-a-way-to-disable-x-frame-options-response-header-or-at-least-modify-it

 

weixin_34297300
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iframe实现跨域
xiaoxiede_wo的博客
05-11 2576
同源情况下可以这样取值:iframe.contentWindow.age;father-->son window.parent.age; son---->father 不同源下: 1.获取hash值---->son取father中的值 在father页面中: <...
iframe跨域通信
时光清浅处,一步一安然
08-15 337
假设A和B两个页面,处于两个不同的域中,现在在A页面中,通过iframe方式引入了B页面,那么B页面中的参数如何传递给A页面呢?A页面中又如何获取B页面传递过来的数据呢? A页面内容 <iframe id="iframe-a" width="100px" height="100px" src="B页面地址,可以带参数" frameborder="0" sandbox="allow-modals allow-forms allow-scripts allow-same-origin all
iframe跨域解决方案
小巧r的博客
08-03 2万+
在 Web 开发中,跨域是指在一个域(例如,https://www.example.com)的页面中请求了另一个域(例如,https://api.example.com)的资源,浏览器出于安全考虑会阻止这样的请求。:在父页面的同域下创建一个代理页面,该页面与 iframe 的目标域同源,然后在代理页面中请求目标资源,并将请求结果传递回父页面。这样可以绕过跨域限制,但需要后端协助。:如果想在当前系统里嵌入其他系统链接,可以在nginx中,将请求的接口代理到对应的服务器下,实现接口的正常调用。
【转】iframe跨域通信的通用解决方案
aibihuo3827的博客
09-12 797
一、背景 在这个Web页面越来越丰富的时代,页面通过iframe嵌入其他的页面也越来越常见。但由于浏览器同源策略的限制,不同域之间属性和操作是无法直接交互的,所以在这个时候,开发者多多少少需要一些方案来突破这些限制。跨域问题涉及的地方也很多,如文档之间的消息通信、ajax请求、Cookie等,本文讨论的是iframe和父页面的消息通信。 二、现状 目前网上也可以找到各种解...
asp.net 配置 X-Frame-Options
weixin_33909059的博客
07-18 1007
近日网站在安全检查,送检的网站被反馈有以下问题   X-Frame-Options Header未配置 漏洞描述: 弱点描述: X-Frame-Options HTTP响应头可以指示浏览器是否允许当前网页在“frame”或“iframe”标签中显示,以此 使网站内容不被其他站点引用和免于点击劫持攻击。 修复和改进建议: 一般性的建议: 给您的网站添加X-Frame-Options响应头,赋...
X-Frame-Options配置
热门推荐
-JackoChan
08-23 2万+
因为最近项目需要接入数据统计,其中一项功能需要开启iframe形式来加载页面,所以就开始研究一下iframe如何配置~~~ X-Frame-Options: 他的值有三个: (1)DENY (2)SAMEORIGIN (3)ALLOW-FROM https://example.com/
解决ASP.NET AJAX在frame及iframe跨域访问的问题
陈俊彪
09-29 1077
1、为ScriptManager添加脚本引用,不从ScriptResource.axd中加载MicrosoftAjax.js脚本,而是直接加载    asp:ScriptManager ID="ScriptManager1" runat="server" EnablePageMethods="true">        Scripts>            asp:ScriptReferen
ASP.NET编程知识】iframe跨域与session失效问题的解决办法.docx
05-20
ASP.NET 开发中,跨域和 Session 失效问题是一个常见的问题,特别是在使用 iframe 嵌入远程应用时。今天,我们来讨论这个问题的解决办法。 什么是跨域和 Session 失效? -------------------------------- 跨域...
iframe跨域与session失效问题的解决办法
01-21
何为跨域跨域session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的...
asp.net中MVC借助Iframe实现无刷新上传文件实例
10-25
例如,Iframe跨域问题可能会限制页面间的数据交互。而且,Iframe内容加载的过程对用户来说是不可见的,这可能会影响用户体验。不过,在一些不需要高度交互的文件上传场景中,使用Iframe结合*** MVC的无刷新上传...
asp.net(C#)跨域跨域写Cookie问题
10-28
描述部分提到,在网站***下通过iframe或ajax调用***下的内容时,IE浏览器默认情况下会阻止***写任何Cookie。这是因为浏览器出于安全考虑,限制了跨域脚本与服务器交互的能力。当浏览器检测到某个请求是从一个域向另...
学会iframe并用其解决跨域问题
m0_59345890的博客
08-03 2万+
我们设置了一个名为ifr,宽为600,高为400,显示边框,隐藏滑动条,显示文档为b站(也可以选择本地html文档)的内联框架。我们可以在iframe标签中写上文字说明,因为有一些低版本浏览器不支持这个标签,显示不了文档的时候就会在页面显示我们写的文字。父页面通过iframe嵌入子页面,通过iframe.contentWindow获取子页面的window,即可操作子页面,子页面通过parent.window和parent来访问父页面的window。src:规定在 中显示的文档的 URL。...
asp.net 解决iframe跨域读写Cookies的问题
老李 技术 专栏
04-16 6061
前几天在做项目的时候用到了iframe.在a页面中我嵌套了个iframe显示b页面。可是我在b页面中创建了cookie可是取不到。后来查了很多的资料找到了解决的方法。asp.net中加入代码:Response.AddHeader("P3P", "CP=CAO PSA OUR");  也可以在html加入标记  用p3p就可以实现跨域cookie的读取。也可以在iis配置http头 
解决使用iframe产生跨域问题
weixin_43777074的博客
10-21 7849
在项目中有时候需要嵌套不同项目的代码,可能是使用不同框架构建的或域名不同,这里就需要使用iframe进行嵌套,但是使用iframe违反了浏览器的安全策略,会造成通信跨域的问题 Blocked a frame with origin "https:/*******com" from accessing a cross-origin frame. 解决方法是采用html5的postMessage来解决上述问题 用法“ otherWindow.postMessage(message, targetOrigin,
4种通过iframe跨域与其他页面通信的方式
qq_57289939的博客
02-02 1602
4种通过iframe跨域与其他页面通信的方式
软件测试经典面试题(答案解析+文档)
最新发布
HUA6911的博客
08-13 760
这些资料,对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!凡事要趁早,特别是技术行业,一定要提升技术功底。
c# .net iframe 跨域问题
06-01
在C# .NET中使用iframe时,由于浏览器的同源策略,可能会遇到跨域问题。解决这个问题的方式有以下几种: 1. 在web.config中添加以下代码: ```xml *" /> , POST, PUT, DELETE, OPTIONS" /> ``` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值