我正在使用Sinatra返回一些IFRAME内容,我想允许跨域src.不幸的是,Sinatra会自动为我的回复添加一个X-Frame-Options标头.我怎么把它关掉?
我试图允许某个特定域名通过iframe访问我的网站
Header set X-Frame-Options ALLOW-FROM https://www.that-site.com
我知道这可以通过将上面的行添加到Apache服务器的配置来完成.
这里有两个问题.
1)应该添加哪个配置文件?apache在Unix和windows上运行,如果不是同一个文件
2)在启用all-from时,我仍然希望能够从我自己的域运行一些iframe.我可以在allow-from之后添加以下行吗?
Header set X-Frame-Options SAMEORIGIN
或者我应该在all-from中添加我自己的域名,即
Header set X-Frame-Options ALLOW-FROM https://www.that-site.com, http://www.my-own-domain.com
真的需要解决这个问题.提前致谢
我正在寻找iframe的帮助.我打算建立一个网站,除了自己的内容外,还有世界上最大的报纸网站(如"纽约时报","金融时报"和其他一些网站)的链接(在iframe中).
但是我遇到了一个框架许可的问题.例如,纽约时报向我显示错误Load denied by X-Frame-Options: http://www.nytimes.com/ does not permit framing.我读过许多论坛,但没有找到可行的解决方案.试图添加Header总是附加X-Frame-Options SAMEORIGIN到.haccess文件但它没有帮助.有什么方法可以解决这个问题吗?
我正在构建一个Facebook应用程序,我注意到当尝试使用他们的Javascript API获取用户的登录状态时,我有时会收到错误:
"拒绝显示文件,因为X-Frame-Options禁止显示."
每次我点击应用程序的"检查登录状态"页面时,我都能够重现这一点,只有在使用Facebook作为页面而不是我的用户帐户时.这很容易避免,因为我知道这会导致问题,但显然我的用户可能不知道这一点.
有没有办法确定用户是否使用Facebook作为页面?因为这似乎几乎毁了我的整个应用程序.
是否Content-Security-Policy忽略X-Frame-Options,服务器返回,或者是X-Frame-Options还在初级?
假设我有:
X-Frame-Options: DENYContent-Security-Policy: frame-src a.com浏览器会加载此框架吗?
目前还不清楚.
一方面,http://a.com明确否认框架.
另一方面,http://b.com明确允许为http://a.com构建框架.
我正在尝试启用django以允许将一个特定视图嵌入到外部站点上,优先考虑没有站点限制.
在我的views.py文件中,我添加了以下代码,其中视图futurebig是我想要嵌入的那个:
from django.views.decorators.clickjacking import xframe_options_sameorigin
...
@xframe_options_sameorigin
def futurebig(request):
...
return render_to_response('templates/iframe/future_clock_big.html', context_dict, context)
这根本无法理解,因为它只能在同一台服务器中嵌入.
如何设置特定视图的标题以使其嵌入任何网站?
为了记录,我只是一个前端开发人员,开发该网站的后端开发人员不再与我合作并拒绝记录他的代码,所以,如果有人可以帮助我并仔细解释我应该在哪里做什么修改,我会非常感激.
谢谢.
据我所知,Django版本是1.6
我们的网站目前无法免遭点击劫持,因此我进入了web.config并添加了
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="DENY" />
</customHeaders>
</httpProtocol>
</system.webServer>
这是非常简单的代码.我的问题是它不起作用.我的问题是:
X-Frame-Options在标题响应中?我用httpfox查找它并没有得到任何东西,所以我无法验证它web.config是否真的把东西放在标题中.我确实尝试将它添加到方法中的Global.asax中Application_Start,但是当我调试时,我似乎无法"击中"此方法; 它没有达到断点.
private void Application_Start(object sender, EventArgs e)
{
// Code that runs on application startup
HttpContext.Current.Response.AddHeader("x-frame-options", "DENY");
LogHelper.Info("Cost of Care Web Application Starting");
}
我想补充一点,我已经尝试将其直接添加到head标签中,我也尝试将其添加到元标记中,如此
<meta http-equiv="X-Frame-Options" content="deny">
我试图使用我的一些网站作为我的iframe一个不同的网站.
我的问题是 - 其他网站始终不断更改其IP地址,并且没有域名.
所以,我读到你可以将这个lint添加到/etc/nginx/nginx.conf:
add_header X-Frame-Options "ALLOW-FROM https://subdomain.example.com/";
我的问题是:可以允许我的网站从所有IP地址和域中导入为iframe吗?为了达到这个目的,我应该写些什么?
我使用的是Ubuntu 16.04和nginx 1.10.0.
我已经托管了一个使用Wordpress创建的网站.
我收到安全警报说"X-Frame-Options Header Not Set",但我无法弄清楚这意味着什么.
任何人都可以解释这个警告是什么,并给我一个如何阻止它发生的解决方案?
我们正在开发一个可以完成各种活动的RESTful API.我们已经完成了Nessus漏洞扫描,以查看安全漏洞.事实证明,我们有一些泄漏导致点击劫持,我们找到了解决方案.我已经加入x-frame-options作为SAMEORIGIN以处理问题.
我的问题是,由于我是一个API,我是否需要处理点击劫持?我想第三方用户应该能够通过iframe访问我的API,而我不需要处理这个问题.
我错过了什么吗?你能分享一下你的想法吗?