Superare "Display vietato da X-Frame-Options"

Sto scrivendo una piccola pagina web il cui scopo è quello di inquadrare alcune altre pagine, semplicemente per consolidarle in una singola finestra del browser per facilitare la visualizzazione. Alcune delle pagine che sto cercando di inquadrare vietano di essere incorniciate e lanciano un "Rifiuto di visualizzare il documento perché visualizzazione vietata da X-Frame-Options". errore in Chrome. Comprendo che si tratta di un limite di sicurezza (per una buona ragione) e non ho accesso a modificarlo.

Esiste un metodo di framing o non framing alternativo per visualizzare le pagine all'interno di una singola finestra che non verrà bloccato dall'intestazione X-Frame-Options?

Ho avuto un problema simile, in cui stavo cercando di visualizzare il contenuto del nostro sito in un iframe (come una finestra di dialogo in stile lightbox con Colorbox ) e in cui era presente un'intestazione "X-Frame-Options SAMEORIGIN" a livello di server sul server di origine che ne impedisce il caricamento sul nostro server di prova.

Questo non sembra essere documentato da nessuna parte, ma se puoi modificare le pagine che stai provando a iframe (ad esempio, sono le tue pagine), semplicemente inviando un'altra intestazione X-Frame-Options con qualsiasi stringa disabilita i comandi SAMEORIGIN o DENY.

per esempio. per PHP, mettendo

<?php
    header('X-Frame-Options: GOFORIT'); 
?>

nella parte superiore della tua pagina i browser uniranno i due, il che si tradurrà in un'intestazione di

X-Frame-Options SAMEORIGIN, GOFORIT

... e ti permette di caricare la pagina in un iframe. Questo sembra funzionare quando il comando SAMEORIGIN iniziale è stato impostato a livello di server e si desidera sovrascriverlo caso per pagina.

Ti auguro il meglio!

Se ricevi questo errore per un video di YouTube, anziché utilizzare l'URL completo, utilizza l'URL di incorporamento dalle opzioni di condivisione. Sembreràhttp://www.youtube.com/embed/eCfDxZxTBW4

È inoltre possibile sostituire watch?v=con embed/così http://www.youtube.com/watch?v=eCfDxZxTBW4diventahttp://www.youtube.com/embed/eCfDxZxTBW4

Se viene visualizzato questo errore durante il tentativo di incorporare una mappa di Google in un iframe, è necessario aggiungere &output=embedal collegamento di origine.

AGGIORNAMENTO 2019: È possibile by-pass X-Frame-Optionsin un <iframe>utilizzando solo JavaScript lato client e il mio X-Frame-bypass Web Component. Ecco una demo: Hacker News in unX-Frame-Bypass . (Testato su Chrome e Firefox.)

Aggiunta di a

  target='_top'

al mio link nella scheda facebook risolto il problema per me ...

Esiste un plug-in per Chrome che rilascia la voce di intestazione (solo per uso personale):

https://chrome.google.com/webstore/detail/ignore-x-frame-headers/gleekbfjekiniecknbkamfmkohkpodhe/reviews

Se ricevi questo errore durante il tentativo di incorporare il contenuto di Vimeo, modifica l'src dell'iframe,

da: https://vimeo.com/63534746
a: http://player.vimeo.com/video/63534746

Ho avuto lo stesso problema quando ho provato a incorporare moodle 2 in iframe, la soluzione è Site administration ► Security ► HTTP securitye controllaAllow frame embedding

Questa è la soluzione ragazzi !!

FB.Event.subscribe('edge.create', function(response) {
    window.top.location.href = 'url';
});

L'unica cosa che ha funzionato per le app di Facebook!

Sembra che X-Frame-Options Allow-From https: // ... sia ammortizzato e sia stato sostituito (e ignorato) se si utilizza invece l'intestazione Content-Security-Policy .

Ecco il riferimento completo: https://content-security-policy.com/

Soluzione per caricare un sito Web esterno in un iFrame anche se l'opzione x-frame è impostata per negare sul sito Web esterno.

Se desideri caricare un altro sito Web in un iFrame e ricevi l' Display forbidden by X-Frame-Options”errore, puoi effettivamente superarlo creando uno script proxy sul lato server.

L' srcattributo di iFrame potrebbe avere un URL simile al seguente:/proxy.php?url=https://www.example.com/page&key=somekey

Quindi proxy.php sarebbe simile a:

if (isValidRequest()) {
   echo file_get_contents($_GET['url']);
}

function isValidRequest() {
    return $_SERVER['REQUEST_METHOD'] === 'GET' && isset($_GET['key']) && 
    $_GET['key'] === 'somekey';
}

Questo passa il blocco, perché è solo una richiesta GET che potrebbe essere stata una normale visita alla pagina del browser.

Attenzione: potresti voler migliorare la sicurezza in questo script. Perché gli hacker potrebbero iniziare a caricare pagine Web tramite lo script proxy.

Ho provato quasi tutti i suggerimenti. Tuttavia, l'unica cosa che ha davvero risolto il problema è stata:

1. Crea un .htaccessnella stessa cartella in cui si trova il tuo file PHP.

2. Aggiungi questa riga all'htaccess:

   Header always unset X-Frame-Options

L'incorporazione del PHP da parte di un iframe da un altro dominio dovrebbe funzionare in seguito.

Inoltre potresti aggiungere all'inizio del tuo file PHP:

header('X-Frame-Options: ALLOW');

Il che, tuttavia, non era necessario nel mio caso.

Ho avuto lo stesso problema con mediawiki, questo perché il server ha negato l'incorporamento della pagina in un iframe per motivi di sicurezza.

L'ho risolto scrivendo

$wgEditPageFrameOptions = "SAMEORIGIN"; 

nel file di configurazione php di mediawiki.

Spero che sia d'aiuto.

FWIW:

Abbiamo avuto una situazione in cui dovevamo uccidere il nostro iFramequando è apparso questo codice "breaker". Quindi, ho usato PHP function get_headers($url);per controllare l'URL remoto prima di mostrarlo in un iFrame. Per prestazioni migliori, ho memorizzato nella cache i risultati in un file in modo da non stabilire una connessione HTTP ogni volta.

Stavo usando Tomcat 8.0.30, nessuno dei suggerimenti ha funzionato per me. Mentre stiamo cercando di aggiornare X-Frame-Optionse impostarlo su ALLOW, ecco come ho configurato per consentire gli iframe di incorporamento:

• Passare alla directory conf Tomcat, modificare il file web.xml
• Aggiungi il filtro qui sotto:

<filter>
            <filter-name>httpHeaderSecurity</filter-name>
            <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
                   <init-param>
                           <param-name>hstsEnabled</param-name>
                           <param-value>true</param-value>
                   </init-param>
                   <init-param>
                           <param-name>antiClickJackingEnabled</param-name>
                           <param-value>true</param-value>
                   </init-param>
                   <init-param>
                           <param-name>antiClickJackingOption</param-name>
                           <param-value>ALLOW-FROM</param-value>
                   </init-param>
            <async-supported>true</async-supported>
       </filter>

       <filter-mapping>
                   <filter-name>httpHeaderSecurity</filter-name>
                   <url-pattern>/*</url-pattern>
                   <dispatcher>REQUEST</dispatcher>
       </filter-mapping> 

• Riavvia il servizio Tomcat
• Accedi alle risorse usando un iFrame.

L'unica domanda che ha un sacco di risposte. Benvenuti alla guida che avrei voluto avere quando mi stavo cacciando per farlo funzionare alle 10:30 di notte il giorno della scadenza ... FB fa alcune cose strane con le app di tela e, beh, sei stato avvisato. Se sei ancora qui e hai un'app Rails che apparirà dietro una tela di Facebook, allora avrai bisogno di:

Gemfile:

gem "rack-facebook-signed-request", :git => 'git://github.com/cmer/rack-facebook-signed-request.git'

config / facebook.yml

facebook:
  key: "123123123123"
  secret: "123123123123123123secret12312"

config / application.rb

config.middleware.use Rack::Facebook::SignedRequest, app_id: "123123123123", secret: "123123123123123123secret12312", inject_facebook: false

config / inizializzatori / omniauth.rb

OmniAuth.config.logger = Rails.logger
SERVICES = YAML.load(File.open("#{::Rails.root}/config/oauth.yml").read)
Rails.application.config.middleware.use OmniAuth::Builder do
  provider :facebook, SERVICES['facebook']['key'], SERVICES['facebook']['secret'], iframe:   true
end

application_controller.rb

before_filter :add_xframe
def add_xframe
  headers['X-Frame-Options'] = 'GOFORIT'
end

Hai bisogno di un controller per chiamare dalle impostazioni di tela di Facebook, ho usato /canvas/e reso il percorso principale SiteControllerper questa app:

class SiteController < ApplicationController
  def index
    @user = User.new
  end
  def canvas
    redirect_to '/auth/failure' if request.params['error'] == 'access_denied'
    url = params['code'] ? "/auth/facebook?signed_request=#{params['signed_request']}&state=canvas" : "/login"
    redirect_to url
  end
  def login
  end
end

login.html.erb

<% content_for :javascript do %>
  var oauth_url = 'https://www.facebook.com/dialog/oauth/';
  oauth_url += '?client_id=471466299609256';
  oauth_url += '&redirect_uri=' + encodeURIComponent('https://apps.facebook.com/wellbeingtracker/');
  oauth_url += '&scope=email,status_update,publish_stream';
console.log(oauth_url);
  top.location.href = oauth_url;
<% end %>

fonti

• La configurazione che penso proviene dall'esempio di omniauth.
• Il file gem (che è la chiave !!!) proviene da: cose di slide che ho imparato ...
• Questa domanda dello stack aveva l'intero angolo di Xframe, quindi otterrai uno spazio vuoto se non inserisci questa intestazione nel controller dell'app.
• E il mio uomo @rafmagana ha scritto questa guida heroku , che ora puoi adottare per le rotaie con questa risposta e le spalle dei giganti con cui cammini.

target = '_ parent'

Usando l'idea di Kevin Vella, ho provato ad aggiungere quell'attributo per formare elementi creati dal generatore di pulsanti di PayPal. Ha funzionato per me in modo che Paypal non si aprisse in una nuova finestra / scheda del browser.

Non sono sicuro di quanto sia rilevante, ma ho costruito un rimedio a questo. Sul mio sito, volevo visualizzare il collegamento in una finestra modale che conteneva un iframe che carica l'URL.

Quello che ho fatto è che ho collegato l'evento click del link a questa funzione javascript. Tutto ciò che fa è fare una richiesta a un file PHP che controlla le intestazioni dell'URL per X-FRAME-Options prima di decidere se caricare l'URL nella finestra modale o reindirizzare.

Ecco la funzione:

  function opentheater(link, title){
        $.get( "url_origin_helper.php?url="+encodeURIComponent(link), function( data ) {
  if(data == "ya"){
      $(".modal-title").html("<h3 style='color:480060;'>"+title+"&nbsp;&nbsp;&nbsp;<small>"+link+"</small></h3>");
        $("#linkcontent").attr("src", link);
        $("#myModal").modal("show");
  }
  else{
      window.location.href = link;
      //alert(data);
  }
});


        }

Ecco il codice del file PHP che lo controlla:

<?php
$url = rawurldecode($_REQUEST['url']);
$header = get_headers($url, 1);
if(array_key_exists("X-Frame-Options", $header)){
    echo "nein";
}
else{
    echo "ya";
}


?>

Spero che sia di aiuto.

Mi sono imbattuto in questo problema durante l'esecuzione di un sito Web wordpress. Ho provato ogni sorta di cose per risolverlo e non ero sicuro di come, in definitiva il problema era perché stavo usando l'inoltro DNS con il mascheramento e i collegamenti a siti esterni non venivano indirizzati correttamente. cioè il mio sito è stato ospitato su http: //123.456.789/index.html ma è stato mascherato per essere eseguito su http://somewebSite.com/index.html . Quando ho inserito http: //123.456.789/index.html nel browser facendo clic su quegli stessi collegamenti non si sono verificati problemi di origine dei fotogrammi X nella console JS, ma è in esecuzione http://somewebSite.com/index.htmlfatto. Per mascherare correttamente è necessario aggiungere i server dei nomi DNS dell'host al servizio del dominio, ad esempio godaddy.com dovrebbe disporre di server dei nomi, ad esempio ns1.digitalocean.com, ns2.digitalocean.com, ns3.digitalocean.com, se lo si fosse utilizzando digitalocean.com come servizio di hosting.

È sorprendente che nessuno qui abbia mai menzionato Apachele impostazioni del server ( *.conffile) o il .htaccessfile stesso come causa di questo errore. Cerca tra i tuoi file .htaccesso di Apacheconfigurazione, assicurandoti di non avere il seguente set su DENY:

Header always set X-Frame-Options DENY

Modificandolo in SAMEORIGIN, le cose funzionano come previsto:

Header always set X-Frame-Options SAMEORIGIN

L'unica vera risposta, se non controlli le intestazioni sulla tua fonte che vuoi nel tuo iframe, è di proxy. Fare in modo che un server funga da client, ricevere l'origine, eliminare le intestazioni problematiche, aggiungere CORS se necessario, quindi eseguire il ping del proprio server.

C'è un'altra risposta che spiega come scrivere un tale proxy. Non è difficile, ma ero sicuro che qualcuno avrebbe dovuto farlo prima. È stato difficile trovarlo, per qualche motivo.

Finalmente ho trovato alcune fonti:

https://github.com/Rob--W/cors-anywhere/#documentation

^ preferito. Se hai bisogno di un uso raro, penso che puoi semplicemente usare la sua app heroku. Altrimenti, è codice per eseguirlo da soli sul proprio server. Nota quali sono i limiti.

whateverorigin.org

^ seconda scelta, ma piuttosto vecchia. scelta presumibilmente più recente in Python: https://github.com/Eiledon/alloworigin

poi c'è la terza scelta:

http://anyorigin.com/

Il che sembra consentire un piccolo utilizzo gratuito, ma ti metterà in un elenco pubblico di vergogna se non paghi e utilizzi un importo non specificato, da cui puoi essere rimosso solo se paghi la tassa ...

Non menzionato ma può aiutare in alcuni casi:

var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function() {
    if (xhr.readyState !== 4) return;
    if (xhr.status === 200) {
        var doc = iframe.contentWindow.document;
        doc.open();
        doc.write(xhr.responseText);
        doc.close();
    }
}
xhr.open('GET', url, true);
xhr.send(null);

Utilizzare questa riga indicata di seguito anziché la header()funzione.

echo "<script>window.top.location = 'https://apps.facebook.com/yourappnamespace/';</script>";

ho avuto questo problema e l'ho risolto modificando httd.conf

<IfModule headers_module>
    <IfVersion >= 2.4.7 >
        Header always setifempty X-Frame-Options GOFORIT
    </IfVersion>
    <IfVersion < 2.4.7 >
        Header always merge X-Frame-Options GOFORIT
    </IfVersion>
</IfModule>

ho cambiato SAMEORIGIN in GOFORIT e ho riavviato il server

Prova questa cosa, non credo che nessuno l'abbia suggerito nell'argomento, questo risolverà come il 70% del tuo problema, per alcune altre pagine, devi scartare, ho la soluzione completa ma non per il pubblico,

AGGIUNGI di seguito al tuo iframe

sandbox = "allow-stessa-origine allow-script allow-popups allow-form"

Modifica .htaccess se desideri rimuovere X-Frame-Options da un'intera directory.

E aggiungi la riga: l'intestazione disattiva sempre X-Frame-Options

[contenuto da: Superamento di "Display vietato da X-Frame-Options"