iframe嵌套页面 拒绝访问 X-Frame-Options配置

已于 2024-04-19 14:25:34 修改
阅读量1.5k 收藏 4
点赞数 4
文章标签: 前端 javascript 嵌套网页 iframe嵌套网页 X-Frame-Options iframe
于 2024-04-19 11:34:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43770430/article/details/137958928
版权
本文讲述了如何处理iframe页面被拒绝访问的问题,通过Nginx代理设置X-Frame-Options参数,包括deny、sameorigin和allow-from,以及如何在其他网站上实现iframe嵌套并绕过安全限制。
摘要由CSDN通过智能技术生成

iframe嵌套页面 拒绝访问 X-Frame-Options配置

iframe拒绝访问

X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from https://www.woshizhanggoudan.com

deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

sameorigin 表示该页面可以在相同域名页面的 frame 中展示。

allow-from uri 表示该页面可以在指定来源的 frame 中展示。

注意事项:设置元标记没有作用

	<meta http-equiv="X-Frame-Options" content="deny">

关于iframe嵌套拒绝访问问题处理

在其他网站本地使用nginx代理对环交所官网进行地址代理并将X-Frame-Options强制修改为ALLOWALL。

1、示例方法

需要嵌套的原始地址为:https://www.baidu.com
nginx代理环交所官网地址为localhost:8082,代理设置如下:

server {
    #访问端口
    listen 8082; 
    location / {
        proxy_pass https://www.baidu.com;   # 需要嵌套地址
        proxy_hide_header X-Frame-Options;  # 避免出现多个X-Frame-Options属性
        add_header X-Frame-Options ALLOWALL;  # 强制修改为允许全部
    }
}

其他网站为localhost:8081/overview2.html,页面中iframe嵌套设置如下:

<iframe src="http://localhost:8082/zhhq/overview.html">
</iframe>

启动nginx后,访问localhost:8081/overview2.html可以正常展示页面:

天生欧皇张狗蛋
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
项目中使用iframe嵌入外部网页时提示连接被拒绝
weixin_42864357的博客
06-25 2332
X-Frame-Options: HTTP 响应头是用来给浏览器 指示允许一个页面 可否在iframe标签,embed标签 或者 标签中展现的标记,浏览器拒绝当前页面加载任何Frame页面。即该页面不允许在frame中展示,即便是在相同域名的页面嵌套也不允许。即表示该页面可以在相同域名页面frame中展示。为允许frame加载的页面地址。即表示该页面可以在指定来源的frame中展示。X-Frame-Options可用于指示是否应该允许浏览器呈现在一个页面
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 1万+
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面iframe页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
漏洞处理-未设置X-Frame-Options
weixin_42124960的博客
12-26 1399
漏洞名称:iFrame注入风险描述:系统未设置x-frame-options头风险等级:低整改建议:为系统添加x-frame-options头。
Vue 嵌入iframe,没有显示对应的页面,显示空白或者拒绝了访问,解决的一个思路
普普通通的博客!
06-29 1万+
在给vue使用iframe嵌入页面的时候,明明没有bug,页面就是显示不出来,白屏了。调了很多iframe的设置,但是就是没有效果。 后来发现是我访问的时候,本机是https,但是访问的地址是http,有个跨域的问题。主要就是浏览器认为不安全。去搜索了一下Http和Https的跨域问题,结论如下:那么解决方案可以是做个代理转发,或者我选择了一个笨办法,就是我去试了下我要嵌入的这个链接https能不能访问,然后发现可以,我就自己自己加了一个s,就可以访问了~...
Spring Security源码分析九:Spring Security Session管理
最新发布
Karka_的博客
05-23 814
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
iframe读取document出现拒绝访问
08-23
iframe.document出现拒绝访问。 threw an exception of type 'System.UnauthorizedAccessException' dynamic {System.UnauthorizedAccessException}
解决vue前端iframe框架嵌套第三方网址拒绝访问
HD243608836的博客
04-16 3468
Refused to display '嵌套的网址' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
使用iframe遇到document对象"拒绝访问"解决办法一例
weixin_30527323的博客
07-07 1681
涉及页面: A.html B.html关系: A.html页面中增加一个iframe,其src属性指向B.html问题: A.html页面中的javascript脚本可以获取到iframe所加载的网页的window对象,但访问window.document时会报"拒绝访问"脚本错误,如果使用轮询访问document则一开始会报同样的错误若干次,之后则能正常显示和操作.已排除原因:1...
Django:六、使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set ‘X-Frame-Options‘ to ‘deny‘.
浩栋的博客
09-21 7311
使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set 'X-Frame-Options' to 'deny'.
iframe嵌套其他网站提示连接被拒绝
我的博客
06-08 9889
最近开发项目中遇到了iframe嵌套页面,遇到了域名提示…拒绝了您的访问。报错:Refused to display ‘http://xxxxxxx/’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.X-Frame-Options: HTTP 响应头是用来给浏览器 指示允许一个页面 可否在或者中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免 点击劫持 攻击。
X-Frame-Options头未设置 防止网页iframe内框架调用
01-20
描述: 目标服务器没有返回一个X-Frame-Options头。 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frameiframe标签中渲染一个页面,网站可以用这个头...修改web服务器配置,添加X-frame-options响应头。赋值
iis、apache、nginx使用X-Frame-Options防止网页Frame的解决方法
09-30
X-Frame-Options 是一种网络安全策略,它通过设置HTTP响应头来控制浏览器是否可以在iframeframe标签中展示页面内容。这一特性旨在防止点击劫持(Clickjacking)攻击,即攻击者利用透明iframe覆盖目标网页,诱使...
js如何判断是否在iframe中及防止网页被别站用iframe嵌套
10-20
在服务器端,也可以通过设置HTTP响应头X-Frame-Options来防止页面被用iframe嵌套。该响应头可以设置为DENY或SAMEORIGIN,DENY表示所有网站都无法将页面嵌入到iframe中,SAMEORIGIN则表示只有与页面同源的网站可以...
js防止页面iframe调用的方法
10-25
因此,在使用JavaScript防止页面iframe调用的同时,还应当采取其他安全措施,比如HTTP头中的X-Frame-Options响应头,它可以更直接地告诉浏览器是否允许页面frameiframe中显示。 总结来说,JavaScript提供了...
Enable website display in iframe-crx插件
04-06
然而,出于安全原因,许多现代网站,特别是那些涉及敏感信息或使用某些安全技术的网站,会设置X-Frame-Options头来禁止在`iframe`中展示内容,以防止点击劫持和其他恶意攻击。此外,同源策略(Same-Origin Policy)...
HTTP X-Frame-Options 防止iframe内框架调用
热门推荐
每天进步一点点
01-29 2万+
X-Frame-Options response header 可用于指示是否应该允许浏览器呈现在一个页面  或 中. 以确保网站内容是不是嵌入到其它网站.      X-Frame-Options" content="SAMEORIGIN / DENY ">  X-Frame-Options     使用X-Frame-Options 有两种可能的值:  DENY :该
X-Frame-Options配置
xue08161981的专栏
11-27 371
点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个 iframe 中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking.
Iframe嵌套拒绝接入
爱哭的毛毛虫的博客
06-18 7179
问题描述:在A系统中使用iframe嵌入B系统,出现下面错误。原因: X-Frame-Options: HTTP 响应头是用来给浏览器 指示允许一个页面 可否在, , 或者 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免 点击劫持 攻击。X-Frame-Options 有三个属性值: deny:表示该页面不允许在frame中展示,即便是在相同域名的页面嵌套也不允许。 sameorigin:表示该页面可以在相同域名页面frame中展示。 allow-from uri:表示该页面
X-Frame-Options头缺失
08-23
X-Frame-Options 是一个HTTP响应头,用于防止点击劫持攻击(clickjacking)。当浏览器收到包含X-Frame-Options头的响应时,它会检查该页面是否允许在<frame>、<iframe> 或者<object>中嵌套展示。如果不允许,则浏览器会阻止页面在框架中加载,从而保护用户的安全。 如果你的网站缺少X-Frame-Options头,意味着你的网站容易受到点击劫持攻击。为了修复这个问题,你可以在服务器端配置中添加X-Frame-Options头。具体的配置方法取决于你使用的服务器软件。下面是一些常见的配置示例: 对于Apache服务器,可以通过在.htaccess文件中添加以下行来启用X-Frame-Options头: ``` Header always append X-Frame-Options SAMEORIGIN ``` 对于Nginx服务器,可以在配置文件中的server块中添加以下行: ``` add_header X-Frame-Options SAMEORIGIN; ``` 这样做将允许来自同一站点的框架嵌套展示,但禁止来自其他站点的框架嵌套展示。 请注意,X-Frame-Options头在现代浏览器中仍然是有效的,但是从2017年起,Content Security Policy (CSP) 的frame-ancestors指令已被推荐用于替代X-Frame-Options头。因此,如果你的网站支持CSP,请考虑使用frame-ancestors指令来设置框架展示的安全策略。 希望这个回答对你有帮助!如果你有任何其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值