解决 Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘deny‘.问题

最新推荐文章于 2024-05-30 14:17:05 发布
最新推荐文章于 2024-05-30 14:17:05 发布
阅读量6.6k 收藏 3
点赞数 2
分类专栏: PDF预览问题 文章标签: django 中间件 服务器 iframe PDF在线预览
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49918657/article/details/123067631
版权

Code Is Never Die !
问题: 在做iframe预览PDF文件时,虽然nginx配置了X-Frame-Options SAMEORIGIN,但在iframe中仍然获取不到内容。

介绍:X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 frame , iframe 或者 object 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

只有当用户使用支持X-Frame-Options的浏览器访问文档时,才提供增加的安全性。Content-Security-Policy HTTP头中的frame-ancestors指令会替代这个非标准的header.CSPframe-ancestors会在壁虎4.0中支持,但是并不会被所有浏览器支持。然而X-Frame-Options是个已广泛支持的非官方标准,可以和CSP结合使用。

X-Frame-Options有三个可能的值:

deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

sameorigin 表示该页面可以在相同域名页面的 frame 中展示。

allow-from uri(http://......) 表示该页面可以在指定来源的 frame 中展示。

解决办法:Django中提供了一些简单的方法来在站点的响应中包含这个协议头

(1)一个简单的中间件,在所有响应中设置协议头。
如果要为你的站点中所有的响应设置相同的X-Frame-Options值,就可以将项目中settings.py文件中的添加中间件:‘django.middleware.clickjacking.XFrameOptionsMiddleware 设置为MIDDLEWARE:

MIDDLEWARE = [
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

在开启该中间件之后,默认会为任何开放的HttpResponse设置X-Frame-Options协议头为DENY,如果你想要设置为SAMEOGIGIN,可以在settings.py文件中设置:X_FRAME_OPTIONS = 'SAMEORIGIN'.

但是这样的话会使该站点所有的视图都使用X-Frame-Options协议头,对于某些视图函数,我们可以使用特定的装饰器告诉中间件不要设置协议头.

(2)使用修饰器。
在views.py文件中使用装饰器
导入模块

from django.views.decorators.clickjacking import xframe_options_sameorigin, xframe_options_exempt,xframe_options_deny

1.引用装饰器xframe_options_sameorigin,允许同源访问的装饰器

from django.views.decorators,clickjacking import xframe_options_sameorigin
 
@xframe_options_sameorigin
def send_file(request,filename):
    fp = open(os.path.join(UEDITOR_UPLOAD_PATH,filename),'rb')
    response = FileResponse(fp)
    response['X-Frame-Options'] = settings.X_FRAME_OPTIONS
    return response
  1. 引用装饰器xframe_options_exempt,告诉中间件访问该视图时不要设置协议头:
from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_exempt
 
@xframe_options_exempt
def xframe_exempt(request):
    return HttpResponse('这个页面是安全的')

3.引用装饰器xframe_options_deny, 告诉中间件访问该视图时屏蔽在加载iframe时的所有资源:

from django.http import HttpResponse
from django.views.decorators.clickjacking import xframe_options_deny
 
@xframe_options_deny
def deny_xframe(request):
    return HttpResponse('拒绝所有的资源')
rainux.
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Spring-frame
11-15
Spring框架的介绍,描述了和介绍了Spring常用的方法以及对Spring框架的整体介绍
server refused to open a session-附件资源
03-02
server refused to open a session-附件资源
Refused to display ‘‘ in a frame because it set ‘X-Frame-Options‘ to ‘sameorigin‘
最新发布
qq_53513969的博客
05-30 386
Refused to display '' in a frame because it set 'X-Frame-Options' to 'sameorigin'
Refused to display 'xxx' in a frame because it set 'X-Frame-Options' to 'DENY'
qq_30908729的博客
03-19 1695
Refused to display 'xxx' in a frame because it set 'X-Frame-Options' to 'DENY' 已完美解决 解决方法: X-Frame-Options是HTTP响应头是用来给浏览器指示允许一个页面可否在 frame请求数据,避免了跨站点的攻击。 X-Frame-Options 有三个值: 1.DENY 表示该...
2.Refused to display ‘http:...‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny
豆豆豆豆芽的博客
10-26 1万+
这个问题会导致内置页面无法加载 这是由于打开了apache服务器配置文件里的X-Frame-Options配置模块 只需要进入apache文件里的httpd.conf配置文件里,把这一行注释掉即可正常加载 改完配置文件后的结果为: ...
Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'.
menghuannvxia的专栏
01-29 2884
springmvc 在整合spring security时,浏览器发送请求,出现 解决:在继承WebSecurityConfigurerAdapter的子类的覆盖方法configure(HttpSecurity)里面添加: http.headers().frameOptions().sameOrigin(); 百度查找原因: 既然是在浏览器端发送请求时出的问题,那么先看一下请求信息,如图,...
解决vue前端iframe框架嵌套第三方网址拒绝访问
HD243608836的博客
04-16 2957
Refused to display '嵌套的网址' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
Refused to display in a frame because it set 'X-Frame-Options' to 'DENY'的解决办法
夜空中最亮的星
06-19 2万+
1、https://blog.csdn.net/fl_zxf/article/details/51100599 2、https://blog.csdn.net/jiangyang100/article/details/79452419
Refused to display '' in a frame because it set 'X-Frame-Options' to 'sameorigin'
lilongan_1的博客
10-23 1万+
x-frame-options 出现的问题 夸子系统访问其他子系统的界面(用iframe嵌套,子系统间有一键登录),用iframe嵌套访问springboot项目的中的某个界面时报Refused to display ‘’ in a frame because it set ‘X-Frame-Options’ to ‘sameorigin’.。 出现问题的原因 这是因不支持iframe嵌入, 这个...
解决Refused to display xxx in a frame because it set X-Frame-Options to deny“报错
热门推荐
qq_36527174的博客
12-08 5万+
报错信息如下: 报错原因: 报错信息已经描述的很明确了,在frame嵌套页面的时候被拒绝了,拒绝原因是Header头中的X-Frame-Options属性的值为‘deny’。 这个机制是为了防止站点被劫持。 解决: 这个问题需要修改Nginx或者Apache的配置,这里以Nginx为例: 在配置文件中加入X-Frame-Options属性的值: 参考值: add_header X-Frame-Options ALLOWALL; #允许所有域名iframe add_header X-
odoo12 Refused to display in a frame because it set 'X-Frame-Options' to 'deny'
qq_38100435的博客
04-17 520
需求 把odoo12的系统嵌入到一个别的系统里面,但是会出现这个问题。 遇到的问题 zs.html:1 Refused to display 'http://xx.com/web/login' in a frame because it set 'X-Frame-Options' to 'deny' 解决方法 由于X-Frame-Options响应头,赋值有如下三种: 1、deny:不能被嵌...
IIS故障问题(Connections-Refused)分析及处理.doc
04-12
IIS故障问题(Connections-Refused)分析及处理.doc
in a frame because it set ‘X-Frame-Options‘ to ‘deny问题解决
LeeTom208的博客
08-18 8068
in a frame because it set 'X-Frame-Options' to 'deny' 问题解决 我们先百度一下X-Frame-Options的中文文档 从上面我们可以看到既然该页面不允许在frame框架中展示,那我们就用新标签页的方式打开即可。这个有多种方法,前端修改,或者js来修改链接属性target="_blank",我项目是采用后端服务器代码的修改。 ...
Refused to display 'xxx' in a frame because it set 'X-Frame-Options' to 'deny'.
LC的博客
09-17 5289
网站升级为https后,发现iframe都加载不出来了,同时控制台报这个错 查找大量资料后解决问题,在这里总结一下 一、 X-Frame-Options 是什么? X-Frame-Options是一个HTTP标头(header),用来告诉浏览器这个网页是否可以放在iFrame内。 二、它可以取哪些值? 1、 DENY 表示不要把这个网页放在iFrame内,通常的目的就是要帮助用户...
Refused to display 'https://...' in a frame because it set 'X-Frame-Options' to 'SAMEORIGN报错
yan_dk的专栏
10-11 1万+
问题: https访问遇到如下报错 Refused to display 'https://...' in a frame because it set 'X-Frame-Options' to 'SAMEORIGN‘’ 解决方法如下: apache服务器http.conf增加如下语句: Header always set X-Frame-Options "AllowAll" ...
Spring Boot 出现 in a frame because it set 'X-Frame-Options' to 'DENY'
weixin_30649641的博客
09-27 672
在spring boot项目中出现不能加载iframe 页面报一个"Refused to display 'http://......' in a frame because it set 'X-Frame-Options' to 'DENY'."错误 解决方式: 因spring Boot采取的java config,在配置spring security的位置添加: @Override ...
Refused to display xxx in a frame because it set X-Frame-Options to deny
07-27
X-Frame-Options是一个HTTP响应头,用于指示浏览器是否允许将页面嵌入到frameiframe或object中展示。当一个页面设置了X-Frame-Optionsdeny时,浏览器会拒绝在frame中展示该页面,即使是在相同域名的页面中也不允许。\[2\] 这个设置可以用来防止点击劫持攻击,即将一个网站的内容嵌入到另一个恶意网站中,以欺骗用户进行操作。\[3\] 如果你遇到了"Refused to display xxx in a frame because it set X-Frame-Options to deny"的错误,说明该页面设置了X-Frame-Optionsdeny,所以无法在frame中展示。这是一种安全措施,以保护网站的内容不被恶意利用。\[1\] 在开发中,你可以通过设置响应头的X-Frame-Options值来解决这个问题。例如,可以将X-Frame-Options设置为SAMEORIGIN,这样页面就可以在同域名页面的frame中嵌套展示。\[2\] #### 引用[.reference_title] - *1* [Refused to display 'xxx' in a frame because it set 'X-Frame-Options' to 'deny'.](https://blog.csdn.net/Absorbed66c/article/details/100914969)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [解决 Refused to display in a frame because it set 'X-Frame-Options' to 'deny'.问题](https://blog.csdn.net/lizy928/article/details/82535089)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

rainux.

生活最美——开心最大

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值