Dan*_*man 44 asp.net sharepoint http x-frame-options
我正在开发一个网页,需要在iframe中显示由另一家公司的SharePoint服务器提供的报告.他们很好.
我们试图在iframe中呈现的页面为我们提供了X-Frame-Options:SAMEORIGIN,它使浏览器(至少IE8)拒绝在帧中呈现内容.
首先,这是他们可以控制的东西,还是SharePoint默认执行的操作?如果我要求他们关闭它,他们甚至可以这样做吗?
其次,我可以做些什么来告诉浏览器忽略这个http标头并只渲染帧吗?
Kei*_*ith 29
如果第二家公司很高兴您在IFrame中访问他们的内容,那么他们需要取消限制 - 他们可以在IIS配置中相当容易地做到这一点.
你无法做任何事情来规避它,任何有效的东西都应该在安全修补程序中快速修补.如果源内容标题在帧中不允许,则无法告诉浏览器只渲染帧.这将使会话劫持变得更容易.
如果内容是GET,那么你不会发回数据,那么你可以获得页面服务器端并代理没有标题的内容,但是任何回发都应该失效.
niu*_*ech 27
UPDATE 2019:您可以绕过X-Frame-Options在<iframe>使用我的X框,旁路 Web组件.它通过使用多个CORS代理扩展了IFrame元素,并在最新的Firefox和Chrome中进行了测试.
您可以按如下方式使用它:
(可选)包含内置的自定义元素扩展用于Safari的polyfill:
<script src="https://unpkg.com/@ungap/custom-elements-builtin"></script>
包括X-Frame-Bypass JS模块:
<script type="module" src="x-frame-bypass.js"></script>
插入X-Frame-Bypass自定义元素:
<iframe is="x-frame-bypass" src="https://example.org/"></iframe>
X-Frame-Options标头是在浏览器级别强制执行的安全功能.
如果您可以控制您的用户群(IT部门为公司应用程序),您可以尝试类似于greasemonkey脚本(如果可以的话)在所有人之间部署greasemonkey,以及b)以共享方式部署脚本)...
或者,您可以代理他们的结果.在服务器上创建端点,并让该端点打开与目标端点的连接,并简单地向后汇集流量.
是的,提琴手是我的选择:
CustomRules.js)。OnBeforeResponse添加以下行:
oSession.oResponse.headers.Remove("X-Frame-Options");
oSession.oResponse.headers.Add("Access-Control-Allow-Origin", "*");
| 归档时间: |
|
| 查看次数: |
88783 次 |
| 最近记录: |