Se creo un iframesimile come questo:
var dialog = $('<div id="' + dialogId + '" align="center"><iframe id="' + frameId + '" src="' + url + '" width="100%" frameborder="0" height="'+frameHeightForIe8+'" data-ssotoken="' + token + '"></iframe></div>').dialog({Come posso correggere l'errore:
Rifiutato di essere visualizzato
'https://www.google.com.ua/?gws_rd=ssl'in una cornice perché ha impostato "Opzioni X-Frame" su "SAMEORIGIN".
con JavaScript?
Risposte:
Non puoi impostare X-Frame-Optionssu iframe. Questa è un'intestazione di risposta impostata dal dominio da cui stai richiedendo la risorsa ( google.com.uanel tuo esempio). In SAMEORIGINquesto caso hanno impostato l'intestazione , il che significa che non hanno consentito il caricamento della risorsa iframeall'esterno del loro dominio. Per ulteriori informazioni, consultare l'intestazione della risposta X-Frame-Options su MDN.
Una rapida ispezione delle intestazioni (mostrata qui negli strumenti di sviluppo di Chrome) rivela il X-Frame-Optionsvalore restituito dall'host.
X-Frame-Optionsè un'intestazione inclusa nella risposta alla richiesta per indicare se il dominio richiesto si consentirà di essere visualizzato all'interno di un frame. Non ha nulla a che fare con JavaScript o HTML e non può essere modificato dall'autore della richiesta.
Questo sito Web ha impostato questa intestazione per impedirne la visualizzazione in un iframe. Non c'è niente che un client possa fare per fermare questo comportamento.
Nel caso in cui tu abbia il controllo del Server che invia il contenuto dell'iframe, puoi configurare l'impostazione X-Frame-Optionsnel tuo server web.
Per inviare l'intestazione X-Frame-Options per tutte le pagine, aggiungilo alla configurazione del tuo sito:
Header always append X-Frame-Options SAMEORIGINPer configurare nginx per inviare l'intestazione X-Frame-Options, aggiungilo alla tua configurazione http, server o posizione:
add_header X-Frame-Options SAMEORIGIN;Questa opzione di intestazione è facoltativa, quindi se l'opzione non è impostata, ti verrà data la possibilità di configurarla alla prossima istanza (ad esempio il browser dei visitatori o un proxy)
fonte: https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
add_header Strict-Transport-Security "max-age=86400; includeSubdomains"; add_header X-Frame-Options DENY;dai frammenti di nginx, e poi ha funzionato immediatamente.
Poiché la soluzione non è stata menzionata per il lato server:
Bisogna impostare cose come questa (esempio da apache), questa non è l'opzione migliore in quanto consente in tutto, ma dopo aver visto il tuo server funzionare correttamente puoi facilmente cambiare le impostazioni.
Header set Access-Control-Allow-Origin "*"
Header set X-Frame-Options "allow-from *"
non proprio ... l'ho usato
<system.webServer>
<httpProtocol allowKeepAlive="true" >
<customHeaders>
<add name="X-Frame-Options" value="*" />
</customHeaders>
</httpProtocol>
</system.webServer>
e se nulla aiuta e vuoi ancora presentare quel sito Web in un iframe, considera l'utilizzo del componente X Frame Bypass che utilizzerà un proxy.
L'intestazione della risposta HTTP X-Frame-Options può essere utilizzata per indicare se un browser deve essere autorizzato a eseguire il rendering di una pagina in a <frame>, <iframe>o <object>. I siti possono utilizzarlo per evitare attacchi di clickjacking, garantendo che il loro contenuto non sia incorporato in altri siti.
Per maggiori informazioni: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
Ho una soluzione alternativa per questo problema, che ho intenzione di dimostrare usando PHP:
iframe.php:
<iframe src="target_url.php" width="925" height="2400" frameborder="0" ></iframe>target_url.php:
<?php
echo file_get_contents("http://www.example.com");
?>A tal fine, devi abbinare la posizione nel tuo apache o qualsiasi altro servizio che stai utilizzando
Se stai usando apache, allora nel file httpd.conf.
<LocationMatch "/your_relative_path">
ProxyPass absolute_path_of_your_application/your_relative_path
ProxyPassReverse absolute_path_of_your_application/your_relative_path
</LocationMatch>La soluzione è installare un plug-in del browser.
Un sito Web che emette intestazioni HTTP X-Frame-Optionscon un valore di DENY(o SAMEORIGINcon origini server diverse) non può essere integrato in un IFRAME ... a meno che non si cambi questo comportamento installando un plug-in Browser che ignora l' X-Frame-Optionsintestazione (ad es. Ignora intestazioni X-Frame di Chrome ).
Si noti che questo non è affatto raccomandato per motivi di sicurezza.
puoi impostare l'opzione x-frame nella configurazione web del sito che vuoi caricare in iframe in questo modo
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="*" />
</customHeaders>
</httpProtocol>Non puoi davvero aggiungere x-iframe nel tuo corpo HTML in quanto deve essere fornito dal proprietario del sito e rientra nelle regole del server.
Quello che probabilmente puoi fare è creare un file PHP che carica il contenuto dell'URL di destinazione e iframe quell'URL php, questo dovrebbe funzionare senza problemi.
puoi farlo nel file di configurazione Tomcat a livello di istanza (web.xml) devi aggiungere il 'filtro' e il filtro-mapping 'nel file di configurazione web.xml. questo aggiungerà [X-frame-options = DENY] in tutta la pagina in quanto è un'impostazione globale.
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<async-supported>true</async-supported>
<init-param>
<param-name>antiClickJackingEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>DENY</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>Se stai seguendo l'approccio xml, allora il codice sottostante funzionerà.
<security:headers>
<security:frame-options />
<security:cache-control />
<security:content-type-options />
<security:xss-protection />
</security:headers>
<security:http>