chrome87版本iframe页面空白_iframe跨域嵌套问题

最新推荐文章于 2024-07-05 15:50:58 发布
最新推荐文章于 2024-07-05 15:50:58 发布
阅读量3.5k 收藏 1
点赞数
文章标签: chrome87版本iframe页面空白
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36267615/article/details/112089647
版权
本文介绍了在遇到Chrome87版本中iframe页面因X-Frame-Options报错无法正常显示的问题时,如何通过理解header选项并尝试使用frame-ancestors来解决跨域限制,确保页面仅在指定域名下可被嵌入。
摘要由CSDN通过智能技术生成

背景:我们有个奇葩网站,用iframe嵌入了很多友方部门的页面,很多部门设置了X-Frame-Options:deny 导致页面展示不出来,如何让页面展示出来,并且只允许在我们的域名下展示出来呢。

先介绍下X-Frame-Options这个header。如果你去查阅相关资料,都会说这个header有三个取值:deny, sameorigin, allow-from https://example.com/ 。甚至有的地方会说allow-from可以写多个域名,allow-from https://example.com/,https://example1.com/。

先解释下这个的含义,deny就是不允许被iframe嵌套。sameorigin表示可以在相同域名下嵌套。allow-from uri标识可以被指定域名嵌套。

所以当我找业务方去改header的时候,他们清一色的给我改成了allow-from https://example.com/,https://example1.com/,https://example1.com/。但是在实际访问的时候会发现报错Invalid 'X-Frame-Options' header encountered when loading xxxx: 'allow-from xxxx,xxx,xxxx' is not a recognized directive. The header will be ignored.

虽然我们的页面可以访问了,但这并不是设置了域名白名单,而是让这个header无效,如果尝试把页面嵌入到其他域名,同样可以访问。到这里我们部门的问题解决了,其他部门的页面可能会存在被iframe嵌套导致的安全问题,不过在国企,其他部门的问题又和我有什么关系呢?但是本着对技术的热爱,还是研究下这个错误。

查了相关报错,有人说是不支持多个域名,于是我用charles重写了header,依然报错。翻看官方文档,发现这个header有兼容性问题

18dd51bdc3f3d011172d4bafe08d0c95.png

按照这个的说明,FF的最新版也许能支持,换到FF84进行试验,依然报错。继续查阅资料,直到我看到英文版本的mdn

fe9c0be3d9d3494fcc9cc5dd6185fb15.png

再看中文版

b3f0e04e03d5bd12c7a96a09c146fd1e.png

这个值已经被废弃了,但是中文文档没有提示。

那要实现允许指定域名以iframe的方式加载就没有方法了吗?当然不是。一个新的header,Content-Security-Policy 完全可以实现这个功能。他有非常强大的功能,其中frame-ancestors可以控制允许iframe嵌套的父级域名。

使用方法如下

Content-Security-Policy: frame-ancestors https://m.wo.cn

用charles实验一下,设置如上header的时候,页面顺利加载。设置其他域名为白名单,一张苦脸,符合预期。

4cebe7a05f63fd390fdafeb153b6d362.png

至此,这个问题顺利解决。

慧人小圣
关注
iframe跨域访问示例
04-28
iframe跨域访问示例
chrome版本iframe嵌套cookie跨域携带问题
lj1530562965的博客
05-19 7975
问题: 新版chrome浏览器嵌套frame页面一直没法显示出来(空白页面),页面未报错 问题分析: Google 在2020年2月4号发布的 Chrome 80 版本默认屏蔽所有第三方 Cookie, 即默认为所有 Cookie 加上 SameSite=Lax 属性(https://www.chromestatus.com/feature/5088147346030592),并且拒绝非Secure的Cookie设为 SameSite=None(https://www.chromestatus.com/fe
谷歌Chrome 80 中 Iframe 跨域 Cookie 的 Samesite 问题
weixin_39459811的博客
07-05 444
将SameSite属性值改为None,同时将secure属性设置为true。从Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。路径认证时,会先去判断cookie中的token-xxx值,如果没有会接着去判断请求头中token-xxx的值。主服务系统是通过token校验的,则跨越时,可以用token-xxx代替Cookie方式作验证,该设置当前默认是关闭的,但在Chrome 80之后,该功能默认已开启。就是关闭浏览器的CSRF。
使用 <iframe /> 嵌套页面的一点总结
weixin_43714836的博客
11-22 1万+
iframe 标签嵌套页面,可能会遇到 x-frame-options 的值为 deny、sameorigin 情况,此时可能出现:xxx.xxx.xxx 拒绝了我们的连接请求。往往被嵌套页面的设置决定了是否能嵌套
一次由iFrame嵌入网页引起的跨域问题解决
AGreatLoser
06-08 7248
B系统正常的登录逻辑是验证账户和密码后,给前端返回Set-Cookie,设置登录态信息,后续无需重复登录。需要注意的是,设置 SameSite=None 的前提是,该页面使用https协议,且 设置 Secure 属性为 True, 如上图红框所示。原来通过iFrame访问B系统页面的时候,浏览器识别到为跨域请求,所以Set-Cookie失效,无法保持登录态。但从A系统页面访问的时候,iFrame中的B系统页面登录失效,一直循环在登录页面。在单独的页面中打开B系统可以正常登录,且持有、保持登录态。
浏览器跨域问题
hnht1989的博客
03-22 3870
浏览器跨域问题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdo
iframe嵌套其它网站页面及相关知识点详解
Quentin0823的博客
01-31 2万+
在一个页面嵌套另外一个页面,就要使用到框架 标签。 标签规定一个内联框架。一个内联框架被用来在当前 HTML 文档中嵌入另一个文档。
iframe跨域与session失效问题的解决办法
10-26
在探讨如何解决iframe跨域与session失效的问题之前,我们需要了解几个重要的概念:什么是跨域,什么是session以及cookie。 首先,跨域问题通常出现在Web应用中,尤其是在使用iframe嵌入第三方网站内容时。在Web技术...
PHP关于IE下的iframe跨域导致session丢失问题解决方法
12-19
总的来说,针对IE浏览器中iframe跨域导致Session丢失的问题,关键在于理解浏览器对跨域Cookie的处理方式,特别是IE的独特限制。通过设置P3P头,可以通知浏览器允许iframe内的页面使用和共享Session,从而修复登录和...
关于Iframe如何跨域访问Cookie和Session的解决方法
01-20
系统直接跳转到系统后台首页,后台登录成功后所跳转的URL这里没法指定,控制不了跳转的页面,如果在统一后台里需要链接到这个系统后台的另外一个页面,而非后台默认首页时,也就是将第三方系统后台的菜单功能放到...
iframe子父页面调用js函数示例
12-12
然而,在Chrome 5+版本中,由于同源策略的限制,`window.parent`在`file://`协议下可能无法正常工作。确保在`http://`或`https://`协议下测试,以避免此类问题。这种方法在IE和Firefox浏览器中通常是有效的。 ### 2...
javascript 获取iframe页面中元素值的方法
10-26
在JavaScript中,获取嵌套在`iframe`中的页面元素的值是相对复杂的过程,因为`iframe`中的内容被视为一个独立的文档,具有自己的DOM结构。本文将详细介绍如何在不同的浏览器环境下,通过JavaScript来访问和操作`...
通过iframe嵌入三方系统时遇到的跨域问题及解决方案
_老逄
10-30 1万+
总结在iframe嵌入第三方系统时遇到的跨域访问问题
iframe跨域问题
qq_33438449的博客
11-19 2万+
(摘抄大佬vicky_lxw用户的解释) 1、首先保证嵌入的页面和vue同一项目中,不存在跨域问题。 2、如果是iframe不传递参数的话,是可以src嵌入不同的网页的,例如你嵌入一个baidu,只要没有数据交互也是可以的 3、如果有少量数据交互,看能否通过url传递参数来实现 4、总之尽量绕过去,如果绕不过去,只能具体问题具体分析了。 5、跨域也是有很多解决方案的,但是仅仅是嵌入一个iframe是没有跨域问题的,js是支持iframe互相传递参数的 6、如果是系统前后分离,才考虑跨域,用反向代理服务器就搞
iframe嵌入页面跨域通信
m0_51431448的博客
09-07 6222
在项目中可能会通过iframe直接将另一个页面嵌入进来,某些场景下还可能会进行一些消息的传递通信。之前做过一次,就是我们开发的主系统,然后下面还有很多子系统,子系统都是通过iframe嵌入进来的,然后为了实现某些需求,需要将token传递给子系统,拱子系统使用,但是当时一直忙着开发,忘记记录了,所以这篇算是补上吧嵌入进来的页面的window跟我们现在的window已经不是同一个了,更不是同一个document。
VUE使用 iframe 嵌入网页
lilylry的博客
08-11 1万+
但若嵌入的网页是第三方网页,对方的操作可能存在安全风险。为了限制的风险,HTML 提供了sandbox属性,允许设置嵌入的网页的权限,等同于提供了一个隔离层,即“沙箱”。allow-storage-access-by-user-activation:允许在用户激动的情况下,嵌入的网页通过 Storage Access API 访问父窗口的储存。问题:容器云嵌入该工程时使用iframe嵌入,嵌入的路径是动态的,路由的代理会产生问题,运维功能嵌入其他平台时,路径也是动态的同样也需要配置。
同源策略及其绕过详解
yufumusui的博客
12-06 5411
同源策略及其绕过详解 前言 最近在看吴翰清写的 白帽子讲 web安全 一书,遇到同源策略一词,我便开始深入学习相关内容,查阅了许多资料后,写该博客梳理、记录所学知识 基础知识 Origin(源) Origin: < scheme > “????/” <host> [ “:” < port > ],origin由用于访问它的URL的scheme(协议)、port(端口)、host(IP或域名)定义 scheme:请求所使用的协议,通常是HTTP协议或者它的安
禁止网站被iframe嵌套的解决方法
不怕麻烦的鹿丸的博客
12-19 9287
有时候我们开发的网站可能会被别人利用嵌入到其他网站中,也就是别人镜像我们的网站,造成点击劫持风险。
解决iframe嵌套第三方网址不能访问
热门推荐
Davi的博客
05-11 2万+
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站的 iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。2.SAMEORIGIN:只允许同源网站嵌入。
解决iframe嵌套第三方页面跨域问题
最新发布
07-23
在网页中使用`<iframe>`嵌入第三方页面时,可能会遇到跨域问题,因为浏览器出于安全考虑,不允许来自不同源的脚本访问彼此的资源。解决这种问题通常有几种策略: 1. **JSONP**(JSON with Padding):如果目标服务器支持JSONP,可以在请求URL后添加一个回调函数名,服务器返回一个JavaScript片段,其中包含你需要的数据。这样就实现了数据从服务器到客户端的异步通信。 2. **CORS(Cross-Origin Resource Sharing)**:这是现代浏览器推荐的方式。在服务端设置响应头`Access-Control-Allow-Origin`,指定允许哪些来源的请求访问资源。如果目标网站设置了CORS,就可以解决跨域问题。 3. **同源策略例外**:如果你能控制iframe加载的内容源,可以在该源的HTML中添加`<meta>`标签,设置`Content-Security-Policy`属性,指定允许某些特定的跨域资源。 4. **利用代理服务器**:在服务器端设置一个代理,通过这个服务器转发请求到目标网址,然后将结果返回给用户,这种方式隐藏了实际的跨域请求。 5. **使用postMessage API**:在双方都能接受的前提下,可以利用`window.postMessage()`方法,在父子窗口间传递消息,实现一定程度的数据交互。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值