Iframe嵌套拒绝接入

最新推荐文章于 2024-06-25 22:12:59 发布
最新推荐文章于 2024-06-25 22:12:59 发布
阅读量7.3k 收藏 7
点赞数 3
分类专栏: 项目bug 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43424325/article/details/125345672
版权
本文介绍了由于X-Frame-Options HTTP响应头导致的iframe嵌入问题,该头用于防止点击劫持攻击。讨论了X-Frame-Options的deny、sameorigin和allow-from uri三个属性值,并提供了在nginx配置中调整该头的示例,包括允许同域嵌套、单个域名和多个域名的iframe嵌套设置。
摘要由CSDN通过智能技术生成

问题描述:在A系统中使用iframe嵌入B系统,出现下面错误。

在这里插入图片描述

原因:
X-Frame-Options: HTTP 响应头是用来给浏览器 指示允许一个页面 可否在, , 或者 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免 点击劫持 攻击。

X-Frame-Options 有三个属性值:
deny:表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。
sameorigin:表示该页面可以在相同域名页面的frame中展示。
allow-from uri:表示该页面可以在指定来源的frame中展示。

nginx配置
需要添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置项中。正常情况下都是使用SAMEORIGIN参数,允许同域嵌套
add_header X-Frame-Options SAMEORIGIN;
允许单个域名iframe嵌套
add_header X-Frame-Options ALLOW-FROM http://whsir.com/;
允许多个域名iframe嵌套,注意这里是用逗号分隔
add_header X-Frame-Options “ALLOW-FROM https://kjgh.zjzwfw.gov.cn/”;(这里url为A系统的域名)

代码示例

server {
    liste
最低0.47元/天 解锁文章
毛毛虫呜呜
关注
专栏目录
关于解决iframe标签嵌套问题的解决方法
11-21
问题描述 当我们使用easyui做后台管理系统的时候,会使用tree组件来实现树形菜单,而我们每点击一次相应菜单,会根据是否有url来判断是否是一级菜单,以及是否已经存在 //根据该节点名字判断该节点是否存在 if ($("#tabs").tabs("exists",node.text)){ //如果存在就直接选中 $("#tabs").tabs("select",node.text); } 如果为否,我们就会嵌套一个iframe标签来打开一个相应的
iframe嵌套其他网站提示连接拒绝
我的博客
06-08 1万+
最近开发项目中遇到了iframe嵌套页面,遇到了域名提示…拒绝了您的访问。报错:Refused to display ‘http://xxxxxxx/’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.X-Frame-Options: HTTP 响应头是用来给浏览器 指示允许一个页面 可否在或者中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免 点击劫持 攻击。
项目中使用iframe嵌入外部网页时提示连接拒绝
最新发布
weixin_42864357的博客
06-25 3778
X-Frame-Options: HTTP 响应头是用来给浏览器 指示允许一个页面 可否在iframe标签,embed标签 或者 标签中展现的标记,浏览器拒绝当前页面加载任何Frame页面。即该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。即表示该页面可以在相同域名页面的frame中展示。为允许frame加载的页面地址。即表示该页面可以在指定来源的frame中展示。X-Frame-Options可用于指示是否应该允许浏览器呈现在一个页面。
iframe弹出层异常:xxx拒绝了我们的连接请求
雅俗共赏的博客
05-31 4929
x-frame-options配置
iframe读取document出现拒绝访问
08-23
iframe.document出现拒绝访问。 threw an exception of type 'System.UnauthorizedAccessException' dynamic {System.UnauthorizedAccessException}
iframe嵌套页面 拒绝访问 X-Frame-Options配置
天生欧皇张狗蛋
04-19 2004
deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。sameorigin 表示该页面可以在相同域名页面的 frame 中展示。allow-from uri 表示该页面可以在指定来源的 frame 中展示。
Django:六、使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set ‘X-Frame-Options‘ to ‘deny‘.
浩栋的博客
09-21 7719
使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set 'X-Frame-Options' to 'deny'.
使用iframe遇到document对象"拒绝访问"解决办法一例
weixin_30527323的博客
07-07 1692
涉及页面: A.html B.html关系: A.html页面中增加一个iframe,其src属性指向B.html问题: A.html页面中的javascript脚本可以获取到iframe所加载的网页的window对象,但访问window.document时会报"拒绝访问"脚本错误,如果使用轮询访问document则一开始会报同样的错误若干次,之后则能正常显示和操作.已排除原因:1...
iframe拒绝嵌入网页
07-28
- *2* *3* [Iframe嵌套拒绝接入](https://blog.csdn.net/weixin_43424325/article/details/125345672)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...
iframe接入jira问题,无法加载出内容
qq_44887459的博客
12-30 1380
iframe嵌入jira,无法显示jira内容 报错: Refused to display ‘https://localhost.com/’ in a frame because an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘self’”. 安全标头的目的 为了防止点...
一些前端大牛都在学习的github库
孙叫兽的博客
03-02 2275
前端知识比较杂,长时间的工作容易沉浸在业务当中,技术提升有限,这里发现了前端的新大陆,可以帮助小伙伴们巩固基础知识,完善自己的知识体系,欢迎点赞收藏,兄弟们,赶紧干起来吧!1.JavaSc...
Web-拾贝
oscar999的专栏
03-10 1万+
JavaScript MVC框架PK:Angular、Backbone、CanJS与Emberhttp://www.csdn.net/article/2013-04-25/2815032-A-Comparison-of-Angular-Backbone-CanJS-and-Ember一个好的js method 方法查询的网站, 有browser兼容的介绍http://help.dottoro.co...
解决vue前端iframe框架嵌套第三方网址拒绝访问
HD243608836的博客
04-16 4106
Refused to display '嵌套的网址' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
iframe 拒绝了我们的连接请求_互联网初识系列2:http请求之路
weixin_39699121的博客
12-01 3178
HTTP是一种协议,超文本传输协议(Hypertext transfer protocol)。就好比接头暗号,是双方定义好的,只有暗号正确,才能沟通正文,谈交易。而http我们的浏览器和服务器之间互相通信的规则。1、当我们在地址栏敲下www.toutiao.com,这个时候浏览器会自动带上http://www.toutiao.com,(当然我们头条是https的这个后面再说)2、然后浏览器自动对请...
iframe 拒绝了我们的连接请求_iframe注入和非法重定向
weixin_39672396的博客
12-01 1万+
iFrame注入是一种非常常见的跨站点脚本(或XSS)攻击。它由一个或多个iFrame标签组成,这些标签已插入页面或帖子的内容中,并且通常会下载可执行程序或执行其他危害网站访问者计算机的操作。在最佳情况下,Google可能将网站标记为“恶意”。最坏的情况是网站所有者和访问者最终都感染了恶意软件。iFram注入,当易受攻击的网页上的框架通过用户可控制的输入显示另一个网页时发生。GET/se...
拒绝了我们的连接请求
热门推荐
万事俱备,就差一个程序员了
01-19 3万+
背景 在接入内容平台的时候, 内容平台使用iframe来嵌入ugc的帖子详情页, 让用户可以预览帖子详情。 但是帖子详情页不支持iframe的嵌入, 导致出现如下错误: ”star.aliexpress.com 拒绝了我们的连接请求。“ 具体如下: image.png 原因 这是因为帖子详情页不支持iframe嵌入, 这个主要是因为spring boot默认为了安全, 默认不让网...
iframe 拒绝了我们的连接请求_Spring Boot中内置Tomcat最大连接数、线程数与等待数的最佳实践...
weixin_39640849的博客
11-30 1023
在 Spring Boot框架中,我们使用最多的是Tomcat,这是Spring Boot默认的容器技术,而且是内嵌式的 Tomcat。Tomcat 是 Apache 基金下的一个轻量级的Servlet容器,支持Servlet和JSP。Tomcat服务器本身具有Web服务器的功能,可以作为独立的Web服务器来使用。一、Spring Boot应用中Tomcat建议配置Spring Boot...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值