Vượt qua màn hình hiển thị bị cấm bởi X-Frame-Options

Tôi đang viết một trang web nhỏ với mục đích đóng khung một vài trang khác, chỉ đơn giản là hợp nhất chúng vào một cửa sổ trình duyệt để dễ xem. Một vài trong số các trang tôi đang cố gắng đóng khung cấm không được đóng khung và ném "Từ chối hiển thị tài liệu vì màn hình bị cấm bởi X-Frame-Options." lỗi trong Chrome. Tôi hiểu rằng đây là giới hạn bảo mật (vì lý do chính đáng) và không có quyền truy cập để thay đổi.

Có phương pháp đóng khung hoặc không đóng khung nào khác để hiển thị các trang trong một cửa sổ không bị vấp phải bởi tiêu đề X-Frame-Options không?

Tôi đã gặp một vấn đề tương tự, khi tôi đang cố gắng hiển thị nội dung từ trang web của chúng tôi trong iframe (dưới dạng hộp thoại kiểu hộp đèn với Colorbox ) và ở đó chúng tôi có tiêu đề "SAMEORIGIN" trên toàn máy chủ trên máy chủ máy chủ nguồn ngăn nó tải trên máy chủ thử nghiệm của chúng tôi.

Điều này dường như không được ghi lại ở bất cứ đâu, nhưng nếu bạn có thể chỉnh sửa các trang bạn đang cố gắng iframe (ví dụ: chúng là các trang của riêng bạn), chỉ cần gửi một tiêu đề X-Frame-Options khác với bất kỳ chuỗi nào các lệnh SAMEORIGIN hoặc DENY.

ví dụ. cho PHP, đặt

<?php
    header('X-Frame-Options: GOFORIT'); 
?>

ở đầu trang của bạn sẽ làm cho các trình duyệt kết hợp cả hai, điều này dẫn đến một tiêu đề là

X-Frame-Options SAMEORIGIN, GOFORIT

... Và cho phép bạn tải trang trong iframe. Điều này dường như hoạt động khi lệnh SAMEORIGIN ban đầu được đặt ở cấp máy chủ và bạn muốn ghi đè lên nó trong trường hợp từng trang.

Tất cả là tốt nhất!

Nếu bạn gặp lỗi này đối với video YouTube, thay vì sử dụng url đầy đủ, hãy sử dụng url nhúng từ các tùy chọn chia sẻ. Nó sẽ trông giống nhưhttp://www.youtube.com/embed/eCfDxZxTBW4

Bạn cũng có thể thay thế watch?v=với embed/nên http://www.youtube.com/watch?v=eCfDxZxTBW4trở thànhhttp://www.youtube.com/embed/eCfDxZxTBW4

Nếu bạn gặp lỗi này trong khi cố gắng nhúng Google Map vào một iframe, bạn cần thêm &output=embedvào liên kết nguồn.

CẬP NHẬT 2019: Bạn có thể bỏ qua X-Frame-Optionsviệc <iframe>sử dụng JavaScript phía máy khách và Thành phần web X-Frame-Bypass của tôi . Đây là một bản demo: Tin tức Hacker trong mộtX-Frame-Bypass . (Đã thử nghiệm trong Chrome & Firefox.)

Thêm một

  target='_top'

vào liên kết của tôi trong tab facebook đã khắc phục sự cố cho tôi ...

Có một plugin cho Chrome, loại bỏ mục tiêu đề đó (chỉ dành cho sử dụng cá nhân):

https://chrom.google.com.vn/webstore/detail/ignore-x-frame-headers/gleekbfjekiniecknbkamfmkohkpodhe/reviews

Nếu bạn gặp lỗi này khi cố nhúng nội dung Vimeo, hãy thay đổi src của iframe,

từ: https://vimeo.com/63534746
thành: http://player.vimeo.com/video/63534746

Tôi gặp vấn đề tương tự khi tôi thử nhúng moodle 2 trong iframe, giải pháp là Site administration ► Security ► HTTP securityvà kiểm traAllow frame embedding

Đây là giải pháp các bạn ạ !!

FB.Event.subscribe('edge.create', function(response) {
    window.top.location.href = 'url';
});

Điều duy nhất làm việc cho các ứng dụng facebook!

Dường như X-Frame-Tùy chọn cho phép-Từ https: // ... bị khấu hao và được thay thế (và bị bỏ qua) nếu bạn sử dụng tiêu đề Chính sách bảo mật nội dung thay thế.

Dưới đây là toàn bộ tài liệu tham khảo: https://content-security-policy.com/

Giải pháp tải trang web bên ngoài vào iFrame thậm chí khó khăn tùy chọn khung x được đặt thành từ chối trên trang web bên ngoài.

Nếu bạn muốn tải một trang web khác vào iFrame và bạn gặp Display forbidden by X-Frame-Options”lỗi thì bạn thực sự có thể khắc phục điều này bằng cách tạo tập lệnh proxy phía máy chủ.

Các srcthuộc tính của iFrame có thể có một địa chỉ tìm kiếm như thế này:/proxy.php?url=https://www.example.com/page&key=somekey

Sau đó, proxy.php sẽ trông giống như:

if (isValidRequest()) {
   echo file_get_contents($_GET['url']);
}

function isValidRequest() {
    return $_SERVER['REQUEST_METHOD'] === 'GET' && isset($_GET['key']) && 
    $_GET['key'] === 'somekey';
}

Điều này bằng cách vượt qua khối, bởi vì nó chỉ là một yêu cầu GET có thể như là một lần truy cập trang trình duyệt thông thường.

Lưu ý: Bạn có thể muốn cải thiện bảo mật trong tập lệnh này. Bởi vì tin tặc có thể bắt đầu tải trong các trang web thông qua tập lệnh proxy của bạn.

Tôi đã thử gần như tất cả các đề xuất. Tuy nhiên, điều duy nhất thực sự giải quyết được vấn đề là:

1. Tạo một .htaccessthư mục trong cùng một thư mục chứa tệp PHP của bạn.

2. Thêm dòng này vào htaccess:

   Header always unset X-Frame-Options

Việc nhúng PHP bởi iframe từ một tên miền khác sẽ hoạt động sau đó.

Ngoài ra, bạn có thể thêm vào đầu tệp PHP của mình:

header('X-Frame-Options: ALLOW');

Đó là, tuy nhiên, không cần thiết trong trường hợp của tôi.

Tôi gặp vấn đề tương tự với mediawiki, điều này là do máy chủ từ chối nhúng trang vào iframe vì lý do bảo mật.

Tôi đã giải quyết nó bằng văn bản

$wgEditPageFrameOptions = "SAMEORIGIN"; 

vào tập tin cấu hình php mediawiki.

Hy vọng nó giúp.

FWIW:

Chúng tôi đã có một tình huống cần phải giết chúng tôi iFramekhi mã "breaker" này xuất hiện. Vì vậy, tôi đã sử dụng PHP function get_headers($url);để kiểm tra URL từ xa trước khi hiển thị nó trong một iFrame. Để có hiệu suất tốt hơn, tôi đã lưu các kết quả vào một tệp để tôi không tạo kết nối HTTP mỗi lần.

Tôi đã sử dụng Tomcat 8.0.30, không có gợi ý nào phù hợp với tôi. Vì chúng tôi đang tìm cách cập nhật X-Frame-Optionsvà thiết lập nó ALLOW, đây là cách tôi định cấu hình để cho phép nhúng iframe:

• Điều hướng đến thư mục conf Tomcat, chỉnh sửa tệp web.xml
• Thêm bộ lọc dưới đây:

<filter>
            <filter-name>httpHeaderSecurity</filter-name>
            <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
                   <init-param>
                           <param-name>hstsEnabled</param-name>
                           <param-value>true</param-value>
                   </init-param>
                   <init-param>
                           <param-name>antiClickJackingEnabled</param-name>
                           <param-value>true</param-value>
                   </init-param>
                   <init-param>
                           <param-name>antiClickJackingOption</param-name>
                           <param-value>ALLOW-FROM</param-value>
                   </init-param>
            <async-supported>true</async-supported>
       </filter>

       <filter-mapping>
                   <filter-name>httpHeaderSecurity</filter-name>
                   <url-pattern>/*</url-pattern>
                   <dispatcher>REQUEST</dispatcher>
       </filter-mapping> 

• Khởi động lại dịch vụ Tomcat
• Truy cập tài nguyên bằng iFrame.

Câu hỏi duy nhất có một loạt các câu trả lời. Chào mừng bạn đến với hướng dẫn mà tôi ước mình có khi tôi tranh giành nó để làm cho nó hoạt động vào lúc 10:30 tối vào ngày cuối cùng ... FB thực hiện một số điều kỳ lạ với các ứng dụng canvas, và, bạn đã được cảnh báo. Nếu bạn vẫn ở đây và bạn có ứng dụng Rails sẽ xuất hiện phía sau Canvas Facebook, thì bạn sẽ cần:

Đá quý:

gem "rack-facebook-signed-request", :git => 'git://github.com/cmer/rack-facebook-signed-request.git'

cấu hình / facebook.yml

facebook:
  key: "123123123123"
  secret: "123123123123123123secret12312"

cấu hình / ứng dụng.rb

config.middleware.use Rack::Facebook::SignedRequest, app_id: "123123123123", secret: "123123123123123123secret12312", inject_facebook: false

cấu hình / khởi tạo / omniauth.rb

OmniAuth.config.logger = Rails.logger
SERVICES = YAML.load(File.open("#{::Rails.root}/config/oauth.yml").read)
Rails.application.config.middleware.use OmniAuth::Builder do
  provider :facebook, SERVICES['facebook']['key'], SERVICES['facebook']['secret'], iframe:   true
end

application_controll.rb

before_filter :add_xframe
def add_xframe
  headers['X-Frame-Options'] = 'GOFORIT'
end

Bạn cần một bộ điều khiển để gọi từ cài đặt canvas của Facebook, tôi đã sử dụng /canvas/và thực hiện tuyến đường chính SiteControllercho ứng dụng này:

class SiteController < ApplicationController
  def index
    @user = User.new
  end
  def canvas
    redirect_to '/auth/failure' if request.params['error'] == 'access_denied'
    url = params['code'] ? "/auth/facebook?signed_request=#{params['signed_request']}&state=canvas" : "/login"
    redirect_to url
  end
  def login
  end
end

login.html.erb

<% content_for :javascript do %>
  var oauth_url = 'https://www.facebook.com/dialog/oauth/';
  oauth_url += '?client_id=471466299609256';
  oauth_url += '&redirect_uri=' + encodeURIComponent('https://apps.facebook.com/wellbeingtracker/');
  oauth_url += '&scope=email,status_update,publish_stream';
console.log(oauth_url);
  top.location.href = oauth_url;
<% end %>

Nguồn

• Cấu hình tôi nghĩ xuất phát từ ví dụ của omniauth.
• Tệp đá quý (là chìa khóa !!!) đến từ: trình chiếu những thứ tôi đã học ...
• Câu hỏi ngăn xếp này có toàn bộ góc Xframe, vì vậy bạn sẽ có một khoảng trống, nếu bạn không đặt tiêu đề này trong bộ điều khiển ứng dụng.
• Và người đàn ông của tôi @rafmagana đã viết hướng dẫn heroku này , bây giờ bạn có thể chấp nhận cho đường ray với câu trả lời này và vai của những người khổng lồ mà bạn đi bộ.

mục tiêu = '_ cha mẹ'

Sử dụng ý tưởng của Kevin Vella, tôi đã thử thêm thuộc tính đó để tạo thành các yếu tố được tạo bởi trình tạo nút của PayPal. Làm việc cho tôi để Paypal không mở trong cửa sổ / tab trình duyệt mới.

Tôi không chắc nó có liên quan như thế nào, nhưng tôi đã xây dựng một cách giải quyết vấn đề này. Trên trang web của tôi, tôi muốn hiển thị liên kết trong một cửa sổ phương thức có chứa iframe tải URL.

Những gì tôi đã làm là, tôi đã liên kết sự kiện nhấp của liên kết đến chức năng javascript này. Tất cả điều này là đưa ra yêu cầu đối với tệp PHP kiểm tra các tiêu đề URL cho X-FRAME-Tùy chọn trước khi quyết định có tải URL trong cửa sổ phương thức hay để chuyển hướng.

Đây là chức năng:

  function opentheater(link, title){
        $.get( "url_origin_helper.php?url="+encodeURIComponent(link), function( data ) {
  if(data == "ya"){
      $(".modal-title").html("<h3 style='color:480060;'>"+title+"&nbsp;&nbsp;&nbsp;<small>"+link+"</small></h3>");
        $("#linkcontent").attr("src", link);
        $("#myModal").modal("show");
  }
  else{
      window.location.href = link;
      //alert(data);
  }
});


        }

Đây là mã tệp PHP kiểm tra nó:

<?php
$url = rawurldecode($_REQUEST['url']);
$header = get_headers($url, 1);
if(array_key_exists("X-Frame-Options", $header)){
    echo "nein";
}
else{
    echo "ya";
}


?>

Hi vọng điêu nay co ich.

Tôi đã gặp vấn đề này khi chạy một trang web wordpress. Tôi đã thử tất cả mọi thứ để khắc phục nó và không chắc chắn làm thế nào, cuối cùng vấn đề là do tôi đang sử dụng chuyển tiếp DNS với mặt nạ và các liên kết đến các trang web bên ngoài không được xử lý đúng cách. tức là trang web của tôi đã được lưu trữ tại http: //123.456.789/index.html nhưng được che dấu để chạy tại http://somewebSite.com/index.html . Khi tôi nhập http: //123.456.789/index.html trong trình duyệt, nhấp vào các liên kết tương tự đó dẫn đến không có vấn đề về nguồn gốc khung X trong bảng điều khiển JS, nhưng chạy http://somewebSite.com/index.html đã làm. Để che dấu đúng cách, bạn phải thêm máy chủ tên DNS của máy chủ lưu trữ vào dịch vụ tên miền của mình, ví dụ: godaddy.com nên có máy chủ tên ví dụ, ns1.digitalocean.com, ns2.digitalocean.com, ns3.digitalocean.com, nếu bạn là sử dụng digitalocean.com làm dịch vụ lưu trữ của bạn.

Thật đáng ngạc nhiên khi không ai ở đây đã từng đề cập đến Apachecác cài đặt ( *.conftệp) của máy chủ hoặc .htaccesschính tệp đó là nguyên nhân gây ra lỗi này. Tìm kiếm thông qua các tập tin .htaccesshoặc Apachecấu hình của bạn , đảm bảo rằng bạn không có bộ sau DENY:

Header always set X-Frame-Options DENY

Thay đổi nó thành SAMEORIGIN, làm cho mọi thứ hoạt động như mong đợi:

Header always set X-Frame-Options SAMEORIGIN

Câu trả lời thực sự duy nhất, nếu bạn không kiểm soát các tiêu đề trên nguồn bạn muốn trong iframe của mình, là ủy quyền nó. Có một máy chủ hoạt động như một máy khách, nhận nguồn, loại bỏ các tiêu đề có vấn đề, thêm CORS nếu cần và sau đó ping máy chủ của riêng bạn.

Có một câu trả lời khác giải thích làm thế nào để viết một proxy như vậy. Điều đó không khó, nhưng tôi chắc chắn rằng ai đó đã phải làm điều này trước đây. Nó chỉ là khó khăn để tìm thấy nó, vì một số lý do.

Cuối cùng tôi đã tìm thấy một số nguồn:

https://github.com/Rob--W/cors-anywhere/#documentation

^ ưa thích. Nếu bạn cần sử dụng hiếm, tôi nghĩ bạn chỉ cần sử dụng ứng dụng heroku của anh ấy. Mặt khác, đó là mã để tự chạy trên máy chủ của bạn. Lưu ý chắc chắn những giới hạn là gì.

sao cũng được

^ lựa chọn thứ hai, nhưng khá cũ. sự lựa chọn mới hơn trong python: https://github.com/Eiledon/alloworigin

sau đó có sự lựa chọn thứ ba:

http://anyorigin.com/

Điều này dường như cho phép sử dụng miễn phí một chút, nhưng sẽ đưa bạn vào danh sách xấu hổ công khai nếu bạn không thanh toán và sử dụng một số tiền không xác định, bạn chỉ có thể bị xóa nếu bạn trả phí ...

Không được đề cập nhưng có thể giúp đỡ trong một số trường hợp:

var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function() {
    if (xhr.readyState !== 4) return;
    if (xhr.status === 200) {
        var doc = iframe.contentWindow.document;
        doc.open();
        doc.write(xhr.responseText);
        doc.close();
    }
}
xhr.open('GET', url, true);
xhr.send(null);

Sử dụng dòng này được đưa ra dưới đây thay vì header()chức năng.

echo "<script>window.top.location = 'https://apps.facebook.com/yourappnamespace/';</script>";

tôi đã có vấn đề này và đã giải quyết nó chỉnh sửa httd.conf

<IfModule headers_module>
    <IfVersion >= 2.4.7 >
        Header always setifempty X-Frame-Options GOFORIT
    </IfVersion>
    <IfVersion < 2.4.7 >
        Header always merge X-Frame-Options GOFORIT
    </IfVersion>
</IfModule>

tôi đã thay đổi SAMEORIGIN thành GOFORIT và khởi động lại máy chủ

Hãy thử điều này, tôi không nghĩ có ai đề xuất điều này trong Chủ đề, điều này sẽ giải quyết như 70% vấn đề của bạn, đối với một số trang khác, bạn phải loại bỏ, tôi có giải pháp đầy đủ nhưng không công khai,

THÊM bên dưới vào iframe của bạn

sandbox = "allow-same-origin allow-scripts allow-popups allow-Forms"

Chỉnh sửa .htaccess nếu bạn muốn xóa X-Frame-Options khỏi toàn bộ thư mục.

Và thêm dòng: Tiêu đề luôn bỏ đặt Tùy chọn X-Frame

[nội dung từ: Vượt qua "Hiển thị bị cấm bởi Tùy chọn khung X"