Nếu tôi tạo iframenhư thế này:
var dialog = $('<div id="' + dialogId + '" align="center"><iframe id="' + frameId + '" src="' + url + '" width="100%" frameborder="0" height="'+frameHeightForIe8+'" data-ssotoken="' + token + '"></iframe></div>').dialog({Làm cách nào để sửa lỗi:
Từ chối hiển thị
'https://www.google.com.ua/?gws_rd=ssl'trong một khung vì nó đặt 'Tùy chọn khung X' thành 'SAMEORIGIN'.
với JavaScript?
Câu trả lời:
Bạn không thể thiết lập X-Frame-Optionstrên iframe. Đó là một tiêu đề phản hồi được đặt bởi tên miền mà bạn đang yêu cầu tài nguyên ( google.com.uatrong ví dụ của bạn). Họ đã đặt tiêu đề SAMEORIGINtrong trường hợp này, điều đó có nghĩa là họ đã không cho phép tải tài nguyên ở iframebên ngoài miền của họ. Để biết thêm thông tin, hãy xem Tiêu đề phản hồi X-Frame-Options trên MDN.
Kiểm tra nhanh các tiêu đề (được hiển thị ở đây trong các công cụ dành cho nhà phát triển Chrome) cho thấy X-Frame-Optionsgiá trị được trả về từ máy chủ lưu trữ.
X-Frame-Optionslà một tiêu đề được bao gồm trong phản hồi yêu cầu nêu nếu tên miền được yêu cầu sẽ cho phép chính nó được hiển thị trong một khung. Nó không có gì để làm với javascript hoặc HTML và không thể thay đổi bởi người khởi tạo yêu cầu.
Trang web này đã đặt tiêu đề này không cho phép nó được hiển thị trong một iframe. Không có gì khách hàng có thể làm để ngăn chặn hành vi này.
Trong trường hợp bạn kiểm soát Máy chủ gửi nội dung của iframe, bạn có thể đặt cài đặt cho X-Frame-Optionsmáy chủ web của mình.
Để gửi tiêu đề Tùy chọn khung X cho tất cả các trang, hãy thêm tiêu đề này vào cấu hình trang web của bạn:
Header always append X-Frame-Options SAMEORIGINĐể định cấu hình nginx để gửi tiêu đề Tùy chọn khung X, hãy thêm tiêu đề này vào cấu hình http, máy chủ hoặc vị trí của bạn:
add_header X-Frame-Options SAMEORIGIN;Tùy chọn tiêu đề này là tùy chọn, vì vậy nếu tùy chọn này hoàn toàn không được đặt, bạn sẽ cung cấp tùy chọn để định cấu hình tùy chọn này cho phiên bản tiếp theo (ví dụ: trình duyệt của khách truy cập hoặc proxy)
nguồn: https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
add_header Strict-Transport-Security "max-age=86400; includeSubdomains"; add_header X-Frame-Options DENY;từ đoạn nginx-snippets, và sau đó nó hoạt động ngay lập tức.
Vì giải pháp không thực sự được đề cập cho phía máy chủ:
Người ta phải thiết lập những thứ như thế này (ví dụ từ apache), đây không phải là tùy chọn tốt nhất vì nó cho phép mọi thứ, nhưng sau khi bạn thấy máy chủ của mình hoạt động chính xác, bạn có thể dễ dàng thay đổi cài đặt.
Header set Access-Control-Allow-Origin "*"
Header set X-Frame-Options "allow-from *"không hẳn ... tôi đã dùng
<system.webServer>
<httpProtocol allowKeepAlive="true" >
<customHeaders>
<add name="X-Frame-Options" value="*" />
</customHeaders>
</httpProtocol>
</system.webServer>và nếu không có gì giúp ích và bạn vẫn muốn trình bày trang web đó trong iframe xem xét sử dụng Thành phần bỏ qua X Frame sẽ sử dụng proxy.
X-Frame-Options tiêu đề HTTP phản ứng có thể được sử dụng để cho biết hay không một trình duyệt nên được cho phép để làm cho một trang trong một <frame>, <iframe>hoặc <object>. Các trang web có thể sử dụng điều này để tránh các cuộc tấn công nhấp chuột, bằng cách đảm bảo rằng nội dung của chúng không được nhúng vào các trang web khác.
Để biết thêm thông tin: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
Tôi có một giải pháp thay thế cho vấn đề này, mà tôi sẽ chứng minh bằng cách sử dụng PHP:
iframe.php:
<iframe src="target_url.php" width="925" height="2400" frameborder="0" ></iframe>đích_url.php:
<?php
echo file_get_contents("http://www.example.com");
?>Đối với mục đích này, bạn cần khớp vị trí trong apache của bạn hoặc bất kỳ dịch vụ nào khác bạn đang sử dụng
Nếu bạn đang sử dụng apache thì trong tệp httpd.conf.
<LocationMatch "/your_relative_path">
ProxyPass absolute_path_of_your_application/your_relative_path
ProxyPassReverse absolute_path_of_your_application/your_relative_path
</LocationMatch>Giải pháp là cài đặt plugin trình duyệt.
Không thể tích hợp một trang web phát hành HTTP Header X-Frame-Optionscó giá trị DENY(hoặc SAMEORIGINcó nguồn gốc máy chủ khác) vào IFRAME ... trừ khi bạn thay đổi hành vi này bằng cách cài đặt plugin Trình duyệt bỏ qua X-Frame-OptionsTiêu đề (ví dụ: Bỏ qua Tiêu đề X-Frame của Chrome ).
Lưu ý rằng điều này không được khuyến khích ở tất cả vì lý do bảo mật.
bạn có thể đặt tùy chọn x-frame trong cấu hình web của trang bạn muốn tải trong iframe như thế này
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="*" />
</customHeaders>
</httpProtocol>Bạn thực sự không thể thêm x-iframe trong phần thân HTML của mình vì nó phải được cung cấp bởi chủ sở hữu trang web và nó nằm trong các quy tắc của máy chủ.
Những gì bạn có thể làm là tạo một tệp PHP tải nội dung của URL mục tiêu và iframe đó là URL php, việc này sẽ hoạt động trơn tru.
bạn có thể làm điều đó trong tệp cấu hình mức cá thể tomcat (web.xml) cần thêm 'bộ lọc' và ánh xạ bộ lọc 'trong tệp cấu hình web.xml. điều này sẽ thêm [X-frame-Tùy chọn = DENY] trong tất cả các trang vì đây là cài đặt chung.
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<async-supported>true</async-supported>
<init-param>
<param-name>antiClickJackingEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>DENY</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>Nếu bạn đang theo cách tiếp cận xml, thì mã bên dưới sẽ hoạt động.
<security:headers>
<security:frame-options />
<security:cache-control />
<security:content-type-options />
<security:xss-protection />
</security:headers>
<security:http>