小编gro*_*der的帖子

我正在实施一个"传递",X-Frame-Options让合作伙伴网站将我的雇主的网站包装在iframe中,如本文所述:http://blogs.msdn.com/b/ieinternals/archive/2010/03/30 /combating-clickjacking-with-x-frame-options.aspx

(将URL分拆为帖子)

简而言之,我们的合作伙伴页面上有一个iframe,其中包含针对我们域名的网址.对于我们域中的任何页面,他们都会添加一个特殊的url参数&@mykey=topleveldomain.com,告诉我们页面的顶级域名是什么.

我们的过滤器从URL中获取合作伙伴TLD(如果提供),并根据白名单对其进行验证.如果它在列表中,我们将X-Frame-Options带有值的标头发送ALLOW-FROM topleveldomain.com(并为将来的点击添加一个cookie).如果它不在我们的白名单上,我们发货SAMEORIGIN或DENY.

问题是,ALLOW-FROM domain对于最新的Firefox和谷歌浏览器,整体上的结果似乎是无差异.至少,IE8似乎正在正确实施ALLOW-FROM.

看看这个页面:http: //www.enhanceie.com/test/clickjack.在"应该显示内容"的第5个(第5个)框之后,是一个不应该显示内容的框,但是.在这种情况下,iframe中的页面正在发送X-Frame-Options: ALLOW-FROM http://www.debugtheweb.com,与TLD完全不同http://www.enhanceie.com.然而,框架仍然显示内容.

是否X-Frame-Options真正实现ALLOW-FROM跨相关(桌面)浏览器的任何见解？也许语法已经改变了？

一些感兴趣的链接:

• 关于x-frame-options的草案rfc:http://tools.ietf.org/html/draft-gondrom-frame-options-01
• developer.mozilla文章将标题讨论为2选项标题(sameorigin或deny). https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
• msdn博客启动了整个事情:http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx
• msdn博客讨论3个值:添加allow-from origin http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx

我正在尝试使用django消息框架来显示以下消息ModelViewSet.create():

class DomainModelViewSet(ModelViewSet):
    def create(self, request):
        super(DomainModelViewSet, self).create(request)
        messages.success(self.request, "Domain Added.")
        return HttpResponseRedirect(reverse('home'))

但我得到:

TypeError: add_message() argument must be an HttpRequest object, not 'Request'.

那么,如何HttpRequest从django休息框架中使用Django Request呢？

非常类似于lafagundes关于南迁移调试日志记录的问题,除了我没有使用南 - 我正在使用普通的Django 1.7迁移.我也在使用django-nose测试跑步者.

当我运行时manage.py test,没有捕获调试日志记录输出:

(codesy)lcrouch:codesy lcrouch$ ./manage.py test
nosetests --verbosity=1
Creating test database for alias 'default'...
......E...............................
======================================================================
ERROR: test_return_state (auctions.tests.utils_tests.IssueStateTest)
----------------------------------------------------------------------

例如,当我运行单个测试模块时,./manage.py test auctions.tests.utils_tests调试日志记录输出包括django.db.backends.schema: DEBUGDjango迁移中涉及的所有行:

(codesy)lcrouch:codesy lcrouch$ ./manage.py test auctions.tests.utils_tests
nosetests auctions.tests.utils_tests --verbosity=1
Creating test database for alias 'default'...
E
======================================================================
ERROR: test_return_state (auctions.tests.utils_tests.IssueStateTest)
----------------------------------------------------------------------
Traceback (most recent call last):
  File "/Users/lcrouch/code/codesy/codesy/auctions/tests/utils_tests.py", line 13, in test_return_state
    fake_gh_client = fudge.Fake(github_client).returns_fake().provides('get_repo').returns_fake().provides('get_issue').returns_fake().has_attr(state='open')
  File "/Users/lcrouch/python/codesy/lib/python2.7/site-packages/fudge/__init__.py", line 1133, in returns_fake
    exp = …