标签: x-frame-options

我正在使用开发版的Laravel(4.1.*),并且有一个我不想要的新默认配置: X-Frame-Options: SAMEORIGIN

目前我通过删除一行来禁用它Illuminate\Http\FrameGuard.php

我正在寻找更好的解决方案.我试过了filtre.php文件:

App::after(function($request, $response) {
   $response->header('X-Frame-Options', 'ALLOW-ALL');
});

但它只是添加了选项(X-Frame-Options:ALLOW-ALL, SAMEORIGIN),而我需要覆盖.

我们正在开发一个可以完成各种活动的RESTful API.我们已经完成了Nessus漏洞扫描,以查看安全漏洞.事实证明,我们有一些泄漏导致点击劫持,我们找到了解决方案.我已经加入x-frame-options作为SAMEORIGIN以处理问题.

我的问题是,由于我是一个API,我是否需要处理点击劫持？我想第三方用户应该能够通过iframe访问我的API,而我不需要处理这个问题.

我错过了什么吗？你能分享一下你的想法吗？

我们使用Google的双击来跟踪IFrame中泛光灯标记的用户信息,但最近响应导致Chrome开发工具出错:

加载" http://123.fls.doubleclick.net/activityi;src=123;type=123;cat=123;ord=123 " 时遇到"X-Frame-Options"标题无效:"ALLOWALL"不是公认的指令.标题将被忽略.

这是关于此事的博客文章:http://ipsec.pl/node/1094

看起来最近添加了ALLOWALL以允许任何站点将代码用作src(类似于根本不包括该选项)并且doubleclick在其响应中包含此选项.在IE,Firefox和Chrome中,Chrome是唯一能够引发错误的浏览器.这是否意味着Google在双击中使用了一个在自己的浏览器中不起作用的选项？很难想象Google团队不会在Chrome中进行测试.

在我看来,如果标题被忽略,并且标题具有与不包含X-Frame-Options的任何跨站点限制相同的效果,则错误不会影响任何内容.此外,由于响应发生错误,原始请求的跟踪应该没问题,对吧？

我有两个Web应用程序:Web应用程序(Web应用程序)和报表Web.我想在web-app中嵌入报表web <iframe>.因此浏览器拒绝了错误:

X-Frame-Options:DENY

有帮助吗？

我在tomcat web.xml中添加了以下代码片段以防止点击劫持.

在添加内置过滤器的部分中,我已经添加了

<filter>
    <filter-name>httpHeaderSecurity</filter-name>
    <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
    <init-param>
        <param-name>antiClickJackingOption</param-name>
        <param-value>SAMEORIGIN</param-value>
    </init-param>
</filter>

对于过滤器映射部分,我添加了.

<filter-mapping>
    <filter-name>httpHeaderSecurity</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
</filter-mapping>

编辑并进行这两项更改后,测试页面(我试图打开目标页面的html页面<frame>)通过(无法在框架内打开目标页面).
但是apache欢迎页面给出了404新的更改.

如果我遗失任何东西,请告诉我.

我使用的是Chrome版本31.0.1650.63 m.

最近,我注意到Chrome开发者控制台中出现了一些错误,但我的网站似乎没有任何问题.经过调查,它们似乎与嵌入式YouTube链接有关.有问题的标记如下:

<iframe width="560" height="315" src="http://www.youtube.com/embed/hhhrWFxWQRk" frameborder="0" allowfullscreen></iframe>

视频本身是无关紧要的(我只是抓住了我在youtubes首页上看到的第一个作为测试),但是我已经包含了我在这里使用的链接,以防万一发生了非常具体的事情.

Chrome中请求的响应标头如下:

Alternate-Protocol:80:quic
Cache-Control:no-cache
Content-Encoding:gzip
Content-Length:2560
Content-Type:text/html; charset=utf-8
Date:Sun, 12 Jan 2014 20:35:54 GMT
Expires:Tue, 27 Apr 1971 19:44:06 EST
Server:gwiseguy/2.0
X-Content-Type-Options:nosniff
X-Frame-Options:ALLOWALL
X-XSS-Protection:1; mode=block; report=https://www.google.com/appserve/security-bugs/log/youtube

我在Chrome开发者控制台中遇到的错误如下:

Invalid 'X-Frame-Options' header encountered when loading 'http://www.youtube.com/embed/hhhrWFxWQRk': 'sil' is not a recognized directive. The header will be ignored.
Error parsing header X-XSS-Protection: sil: expected 0 or 1 at character position 0. The default protections will be applied. 

在大红色字母.我注意到的第一件事是错误都引用了值"sil",我在HTTP请求的任何响应头中都没有看到.

视频显示并播放正常,错误表示将使用默认设置 - 因此这看起来不是问题.但是,我很想知道发生了什么,以及为什么会发生这些错误.

我注意到错误与XSS有关,根据我的研究,我认为X-XSS-Protection标题仅适用于IE8,而从YouTube返回的值无效(report …

我正在使用rails应用程序来从abc.com提供页面.在其中,我在应用程序控制器中设置了响应头(对于通过before_filter的每个请求),以便只能通过以下代码从特定站点(xyz.com)通过iframe访问它:

def set_x_frame_options
  response.headers["X-Frame-Options"] = "ALLOW-FROM http://www.xyz.com"
end

问题是,我不仅可以从xyz上的abc.com访问该页面,还可以访问任何其他网站.我想限制只访问xyz.com.当我在chrome控制台中检查响应头时,我可以看到正确传递了X-Frame-Options.所有浏览器都会发生这种情况.我错过了什么吗？

我想在客户的网站上嵌入谷歌地图.

这是我使用的嵌入代码,它是从嵌入它的页面的视图源复制而来的.我按照此页面上的说明http://maps.google.ca/help/maps/getmaps/plot-one.html

<iframe width="180" height="250" frameborder="0" scrolling="no" marginheight="0"
marginwidth="0" src="http://maps.google.com/maps?f=q&source=s_q&hl=en&geocode=
&q=5590+Joliet+Street+Denver,+Colorado+88239&aq=&sll=34.168218,-111.930907
&sspn=15.047206,26.30127&ie=UTF8&hq=&hnear=5590+Joliet+St,+Denver,+Colorado
+80239&ll=39.797915,-104.860812&spn=0.013667,0.025685&t=m&z=14&output=embed">
</iframe>

我收到错误(Chrome开发者工具,控制台)阻止来自原始" http://maps.google.com "的框架访问具有"http link here"的框架.协议,域和端口必须匹配."并且不显示地图.

有趣的是,当我将其粘贴到文本文档并将其保存为HTML并在Chrome中打开时,将显示地图,但我仍然在Dev Tools中得到相同的错误(除了原点为null).

应用程序是PHP,我已经尝试了remove_header(); 选项并没有改变任何东西,我确保iframe中的链接包含output = embed.

我尝试过FF,Chrome和IE 10,都有相同的结果.

这是指向相关页面的链接.(无法发布IP地址链接)198 dot 154 dot 220 dot 143/contact /

在我正在开发的Ruby on Rails 4应用程序中,我需要创建一个页面,将其拉入foo.bar.com服务器上托管的iframe ,因此我有这个控制器方法:

def iframed_page
  response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://foo.bar.com"
end

..现在事实证明,客户也希望我也白名单http://foo.dev.bar.com.

我知道,对于设置X-FRAME-OPTIONS,"ALLOW-FROM"选项不允许多个子域.但由于这是具有不同子域的相同根域,它会更灵活吗？例如,我可以做类似的事情

response.headers["X-FRAME-OPTIONS"] = "ALLOW-FROM http://*.bar.com"

还有？

我nginx用作我网站的反向代理.

我希望能够iFrame从chrome扩展新标签html文件中打开我的网站.

为此,我需要nginx设置X-Frame-Options为允许所有域.

根据此答案,如果您未设置X-Frame-Options,则所有域都是默认状态.

我/etc/nginx/nginx.conf没有在任何地方设置X-Frame-Options.

然而,当我使用Postman检查我的网站响应标题时,它显示了我X-Frame-Options = SAMEORIGIN.

如何删除此设置并将我的网站加载到chrome new-tab .html文件中的iFrame中？