ifream嵌入报错:because it set X-Frame-Options to deny问题解决

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量3.2k 收藏 4
点赞数 1
分类专栏: web服务 文章标签: java chrome
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangdehua678/article/details/125506776
版权

前段时间项目里前端页面嵌入到别的系统的ifream,报错:Refused to display http://xxxxxx.cn/' in a frame because it set X-Frame-Options to deny。

后来差了一些资料,是浏览器安全方面的设置问题。请求响应头里需要加一个返回参数来设置和ifream嵌入相关的设置。

先说报错啥意思,这个报错的意思是,浏览器X-Frame-Options参数是 deny。简单解释一下这个参数:

有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-Options信息
使用 X-Frame-Options 有三个可选的值:
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:origin为允许frame加载的页面地址
注意:
    SAMEORIGIN兼容了DENY和ALLOW-FROM,所以经常设置为SAMEORIGIN

从这看就知道,默认的是deny,不允许嵌入。所以需要修改这个参数。

修改方法有很多,一种是在spring security里设置,如图:

在这里插入图片描述

 http.headers().frameOptions().sameOrigin();

当然还有别的方式,只要是能让返回的http的herder里这个参数值就行。也可以在ngix设置:

add_header X-Frame-Options SAMEORIGIN;

然后测试了,无效。

后面就找了其他的办法,设置了另一个参数:Content-Security-Policy,设置值为,frame-ancestors self *;report-uri /api/security/csp-report,我用的是ngix的设置,解决了这个问题。具体为:

add_header Content-Security-Policy "frame-ancestors self *;report-uri /api/security/csp-report";

这一行可以i加载http块、server块或者location块,都可以。不用ngix的,找一个公共的地方,保证能给请求响应添加这个参数就行。

希望这个经验,对你有用。

迷途小羔羊678
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
页面嵌套拒绝连接Refused to display 'URL' in a frame because it set 'X-Frame-Options' to 'DENY'
liao0801_123的博客
11-30 5518
使用activiti7整合springboot2 ,页面以iframe形式来加载页面。 然后浏览器就报错了。 原因是因为activiti7引入了springSecurty. 而springSecurty使用X-Frame-Options防止网页被Frame 使用 X-Frame-Options X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中...
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
Druid嵌入IFrame显示 'X-Frame-Options' to 'deny'解决办法
YingTao8的博客
07-29 2201
问题: 项目中打算把Druid的界面用IFrame嵌入前端页面中,访问的时候出现 /druid/index.html' in a frame because it set 'X-Frame-Options' to 'deny' 造成原因: 因为项目中使用的认证安全框架是SpringCloud Oauth2,它又依赖于SpringSecurity SpringSecurity为了防止...
解决 Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘deny‘.问题
rainux
02-22 5931
Code Is Never Die ! 问题: 在做iframe预览PDF文件时,虽然nginx配置了X-Frame-Options SAMEORIGIN,但在iframe中仍然获取不到内容。 介绍:X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 frame , iframe 或者 object 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 只有当用户使用支持X-Frame-
Host.Deny- Your Fast Track Security Reso-开源
05-06
HOST.DENY文件是一个文件,当加载到您的Web服务器的/ etc文件夹时,将禁止使用此编译列表上的IP的任何文件。 还有一个MS Excel Spreadsheat,因此您可以将自己的Ips添加到列表中,并删除重复的副本
in a frame because it set 'X-Frame-Options' to 'deny'.
是卿卿
03-01 1万+
问题是做文件导出的时候遇到的。 1.在前端加 <security:http auto-config="true" use-expressions="true"> <security:headers> <security:frame-options policy="SAMEORIGIN"/> </security:hea
Refused to display ‘http://...‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny‘.解决方式
kejizhentan的博客
02-06 2万+
在使用springsecurity时候经常会出现Refused to display ‘http://localhost:9999/admin/toAdminWelcome’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.错误,只需要做以下设置即可: http.headers().frameOptions().sameOrigin(); 有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-O.
Django:六、使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set ‘X-Frame-Options‘ to ‘deny‘.
浩栋的博客
09-21 4924
使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set 'X-Frame-Options' to 'deny'.
Tomcat部署iframe出现Refused to display ‘url‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny‘无法访问问题
Java开发,人工智能,边缘计算,致力于掌握前沿技术
04-15 5643
在Linux下部署帆软报表项目的时候,使用Tomcat服务器独立部署,部署完成之后发现iframe嵌入的页面无法打开访问,报错Refused to display ‘url’ in a frame because it set ‘X-Frame-Options’ to 'deny’ 使用iframe嵌入网页,浏览器报错:Refused to display ‘url’ in a frame because it set ‘X-Frame-Options’ to ‘deny’。 这是SpringSecur
解决 Refused to display in a frame because it set 'X-Frame-Options' to 'deny'.问题
热门推荐
lizy928的博客
09-09 10万+
X-Frame-Options 响应头 注意: CSP Level 2 规范中的 frame-ancestors 指令会替代这个非标准的 header。CSP 的 frame-ancestors 会在 Gecko 4.0 中支持,但是并不会被所有浏览器支持。然而 X-Frame-Options 是个已广泛支持的非官方标准,可以和 CSP 结合使用。 X-Frame-Options HTTP 响...
MoniAst:MoniAst-Asterisk实时监控呼叫,座席,队列
05-13
莫尼斯特 MoniAst-为您的代理商进行实时监控。 特征: 实时监控座席和中继线状态 实时监控队列 监听当前通话(间谍) 提示音(耳语) 要求 可以在Node.js可以运行的几乎所有平台上运行(Windows,Mac,Linux等)。 Node.js 8以上 MongoDB的 安装 git clone cd MoniAst npm安装 重命名config.example.js-> config.js 在星号中为MoniAst创建管理器或使用该管理器 #/etc/asterisk/manager.conf [general] enabled = yes port = 5038 bindaddr = 0.0.0.0 displayconnects=no ;only effects 1.6+ [managerLogin] secret = superPassword deny
koa-xframe:适用于Koa的X-Frame-Options HTTP响应标头实用程序
04-30
Koa XFrame 用于Koa的 HTTP响应标头实用程序。 :light_bulb: 该中间件是为 v2.xx设计的,并使用来实现ES5兼容性。 :wrench: 该中间件正在开发中。 反馈/公关受到欢迎和鼓励。 如果您想在这个项目上进行合作,请告诉我。 安装 $ npm install --save koa-xframe 用法和API import Koa from 'koa' ; import xFrame from 'koa-xframe' ; const app = new Koa ( ) ; // default settings -> set X-Frame-Options to 'DENY' app . use ( xFrame ( ) ) ; // custom settings // -> set X-Frame-Options to 'DENY' app . use ( xFrame (
PyPI 官网下载 | find2deny-0.1.12.tar.gz
01-11
资源来自pypi官网。 资源全名:find2deny-0.1.12.tar.gz
iis、apache、nginx使用X-Frame-Options防止网页被Frame解决方法
01-10
当然也是因为被360检测到了示"X-Frame-Options头未设置",根据360的提示与百度了一些网上的一些资料整理了下,完美解决问题。 首先看下360给出的方案,但么有针对服务器的具体设置,不是每个人对服务器都很懂啊。 ...
cargo-deny::cross_mark:用于减少依赖项的货运插件:crab:
02-05
cargo-deny::cross_mark:用于减少依赖项的货运插件:crab:
zncbot:即将被删除-新位置是https
05-01
deny) 完整的无电子邮件系统。 该系统通过将新用户的bindhost设置为8.8.8.8来防止他们连接,直到管理员批准为止,而不是要求提供提供的电子邮件进行注册。 可以删除IRC频道中的ZNC帐户。 多种语言支持,包括为每个...
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 342
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1444
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 612
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
in a frame because it set 'x-frame-options' to 'deny'.
09-21
“在一个框架中,是因为它设置了'x-frame-options'为'deny'。”这句话意味着网站的服务器设置了一个HTTP头部,被称为“x-frame-options”,并将其值设置为“deny”。这样的设置是为了防止网站在一个框架中嵌套显示。 当一个网站设置了“x-frame-options”为“deny”时,它告诉浏览器不要在任何框架中显示该网页。这样做是为了提高网站的安全性,阻止其他网站通过嵌套显示来盗取敏感信息、进行点击劫持等攻击。 具体来说,当浏览器尝试将一个页面嵌入到另一个页面的框架中时,如果该页面的“x-frame-options”设置为“deny”,浏览器将不会显示该页面。这意味着该页面无法在其他网站的框架中显示,只能在单独的浏览器窗口中打开。 这种设置常见于银行、电子商务等处理敏感信息的网站,旨在保护用户的隐私和安全。这样即使有人试图通过嵌套显示来进行攻击,也无法成功。因此,当我们看到一个页面出现“在一个框架中,是因为它设置了'x-frame-options'为'deny'。”的提示时,我们可以知道这是该网站为了增加安全性而采取的一种措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值