Iframe时针对X-Frame-Options跨域问题

已于 2024-09-13 14:08:46 修改
阅读量207 收藏
点赞数 2
分类专栏: nginx 文章标签: linux 运维 服务器 云计算
于 2024-09-13 14:07:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72758566/article/details/142209526
版权

当我们在一个网页中嵌套另一个域名的时候可能会出现跨域错误
这时需要调整x-frame-options参数
x-frame-options的几个参数:

  1. deny:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
  2. sameorigin:表示该页面可以在相同域名页面的 frame 中展示。
  3. allow-from uri:表示该页面可以在指定来源的 frame 中展示
    只需要在对应嵌套域名的nginx中的server块或者localtion配置如下:
proxy_hide_header X-Frame-Options;# 避免出现多个X-Frame-Options属性
add_header X-Frame-Options "ALLOW-FROM http://“被嵌套的域名”,https://“被嵌套的域名”" always;将之前网页的SAMEORIGIN属性给替换了,可以嵌套了
峰峰--
关注
专栏目录
Refused to display ‘http://...‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny‘.解决方式
kejizhentan的博客
02-06 2万+
在使用springsecurity候经常会出现Refused to display ‘http://localhost:9999/admin/toAdminWelcome’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.错误,只需要做以下设置即可: http.headers().frameOptions().sameOrigin(); 有候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-O.
nginx设置X-Frame-Options
最新发布
weixin_46742102的博客
08-23 868
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示。SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示。重新加载:nginx -s reload。
iframe X-Frame-Options
qq_30436011的博客
10-24 1272
下面介绍下X-Frame-Options主要用处是用于防止点击劫持,**点击劫持(ClickJacking)**是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此用户将在不知情的情况下点击透明的iframe页面。HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。那么怎样自定义配置呢?
iframe 弹窗跨域问题解决
qq_58041235的博客
01-31 674
iframe 弹窗跨域问题解决
apache服务器配置响应头,Web安全 之 X-Frame-Options响应头配置
weixin_39629129的博客
08-13 3400
最近项目处于测试阶段,在安全报告中存在"X-Frame-Options 响应头缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图:X-Frame-Options:值有三个:(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。(3)ALLOW-FROM https://exa...
使用Iframe针对X-Frame-Options跨域问题的解决方案-Nginx(亲测有效)
weixin_44588243的博客
04-28 1万+
只需一个配置,轻松解决X-Frame-Options跨域问题 效果展示: 1、存在问题: 2、解决问题 对iframe引入的http://com.ityj.frame/xframe/hello项目,通过nginx过滤掉X-Frame-Options的配置 操作如下: location / { #root html; #index index.html index.htm; proxy_pass http://com.ityj.frame; proxy_hide_header X-Fr
Electron 中 iframe 绕过X-Frame-Options
sainleee的博客
09-14 819
Electron 中 iframe 绕过X-Frame-Options
解决iframe 请求security出现X-Frame-Options
我是一只蘑菇17的博客
09-27 1278
>>>> Springboot 2.x 要在继承了 WebSecurityConfigurerAdapter 的配置类中配置。插入.and().headers().frameOptions().在开发SpringSecurity配置的项目,返回带有。结合SpringBoot只要在页面访问控制的配置中加上。()//防止iframe内容无法显示,解决问题!()//防止iframe内容无法显示。的页面,无法显示。打开页面工具看到提示。
iframe嵌套页面 拒绝访问 X-Frame-Options配置
天生欧皇张狗蛋
04-19 2120
deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。sameorigin 表示该页面可以在相同域名页面的 frame 中展示。allow-from uri 表示该页面可以在指定来源的 frame 中展示。
使用 X-Frame-Options 防止被iframe 造成跨域iframe 提交挂掉
qq_36114537的博客
07-08 1138
一 使用方式及相关说明# 具体参考https://www.cnblogs.com/JealousGirl/p/useGridster.html,挺完整的 二 使用问题 1.iframe卡顿问题 由于我做的项目需要把拖动元素里放iframe直接打开子页面,避免父子页面项目影响造成各种奇奇怪怪的问题,但是拖拽包含iframe会很卡,此在父页面加上 iframe{pointerevents:none;...
X-Frame-Options Spring Security 跨域访问问题!
爱我中华之笔耕不缀!
03-11 1万+
关于X-Frame-Options的配置,从网上搜索资料,大部分都描述了Apache、Ngix、IIS如何配置此项,但常用的tomcat如何配置?涉及Spring Security如何处理?这类问题还是没有找到现成的方案,动手折腾好了,遂整理下来,供自己和别人参考!         Spring Security下,X-Frame-Options默认为DENY,非Spring Security环
从 chromium源码中 去除iframe无法显示x-frame网页问题
清流弯弯
01-21 815
我已经尝试过CEF各层面的修改,无论是HANDELE处理,还是从extentions扩展考虑,均无法实现在iframe中 显示 响应头 带有x-frame-optition的网页。 后来,从chromium源码着手,修改源码的两个地方,重新编译新的CEF后,就可以无限制的在iframe中显示网页了。 借鉴ignore_frame 插件的JS代码 const HEADERS_TO_STRIP_LOWERCASE = [ 'content-security-policy', 'x-...
js如何修改iframe的X-Frame-Options
08-14
JavaScript本身并不能直接修改iframe的`X-Frame-Options`头信息,因为这涉及到浏览器的同源策略以及对跨域资源的控制,这是由服务器端或HTML文档本身决定的,不是客户端脚本能改变的。 如果你想让一个已设置`X-...
如何设置X-Frame-Options
04-17
X-Frame-Options是一个HTTP响应头,用于控制网页在<frame>、<iframe>或元素中的显示行为。它可以帮助防止点击劫持攻击(Clickjacking)。 要设置X-Frame-Options,你可以在服务器端的HTTP响应头中添加该字段。以下...
iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
AIWWY的博客
11-10 1万+
如果iframe中的内容同等重要,或比主页面更重要,这很好。攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此用户将在不知情的情况下点击透明的iframe页面。iframe的页面和父页面(parent)是分开的,所以它意味着,这是一个独立的区域,不受 parent的CSS或者全局的JavaScript的影响。2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;
in a frame because it set 'X-Frame-Options' to 'sameorigin'
热门推荐
mxh的博客
02-12 7万+
我是打算在php网站中的一个HTML文件使用iframe标签调用django网站遇到的问题,这句话说得好像有点繁琐,就是使用iframe遇到的问题。查了很多相关资料,又说php网站的,有说html中没有设置,有说apache中需要配置,我全部尝试一遍之后都没有解决,后知后觉,发现django中间件问题。先了解一下背景知识。 1.同源策略 什么叫同源? URL由协议、域名、端口和路径组成,...
in a frame because it set 'X-Frame-Options' to 'sameorigin'.
weixin_34292959的博客
12-12 7883
加载MP3格式报错如下 Refused to display 'https://xx.xx.com/xxxxx.mp3' in a frame because it set 'X-Frame-Options' to 'sameorigin'. 复制代码解决办法 在页面中添加头信息 <metahttp-equiv="X-Frame-Options"content="deny"> 复制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

峰峰--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值