X-Frame-Options HTTP响应头告诉浏览器是否允许在其他来源的HTML文档中的iframe元素或框架元素中呈现HTML文档。
我想在我的其他网站之一 (mainsite.com) 的 iframe 中显示我的网站之一 (secondsite.com)。在 mainsite.com 的其中一个页面上,我有以下 html: <p>我想在我的其他网站之一 (mainsite.com) 的 iframe 中显示我的网站之一 (secondsite.com)。在 mainsite.com 的其中一个页面上,我有以下 html:</p> <pre><code><iframe src="https://secondsite.com"></iframe> </code></pre> <p>但是,当我加载页面时,我在控制台中收到以下错误:</p> <pre><code>Refused to display 'https://secondsite.com' in a frame because it set 'X-Frame-Options' to 'sameorigin'. </code></pre> <p>我需要在 secondarysite 项目的代码中添加什么才能在 mainsite.com 中显示它?最好<em>仅</em>在mainsite.com。</p> <p>由于 secondarysite 是一个 .NET Core 6 项目,我是否可以在 Startup.cs/Program.cs 中添加一些配置以将其应用于所有页面?</p> </question> <answer tick="false" vote="0"> <p>我认为由于安全原因,您正在尝试的操作是不可能的。 参考:<a href="https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy" rel="nofollow noreferrer">https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy</a></p> </answer> <answer tick="false" vote="0"> <p>secondsite.com 设置了响应标头“X-Frame-Options: sameorigin”,该标头仅允许由同源页面构建。 Mainsite.com 不是同一来源,因此不允许对其进行框架。</p> <p>您应该删除 X-Frame-Options,因为此标头不支持您尝试执行的操作。相反,您应该设置响应标头“Content-Security-Policy:frame-ancestors 'self' mainsite.com;”。如果您无法删除 X-Frame-Options,也没关系,因为在存在 CSP 框架祖先的情况下它将被忽略。</p> </answer> </body></html>
如何将 X-Frame-Options: DENY 添加到 Angular azure 应用程序服务器?
如何以及在何处将“X-Frame-Options:DENY”添加到我们的网络应用程序服务中? 我们正在使用 azure 应用程序服务(基于 Linux),前端是使用 Angular 13+ 构建的 如何以及在何处实施“X-
嵌入 Apache 超集禁止的 X-Frame-Options
我想将 Apache Superset 嵌入到我的 React 应用程序中。 应用程序.js: 从“反应”导入{useEffect} 从“@superset-ui/embedded-sdk”导入{embedDashboard} 导入“./App.css”
在 Restful API 中添加“x-frame-options”有意义吗
我们正在开发一个restful API来完成一些不同的事件。我们进行了 Nessus 漏洞扫描以查看安全漏洞。事实证明,我们有一些泄漏导致点击劫持,我们......
我尝试了不同的方法在 Django 服务器响应中将 X-Frame-Options 设置为“SAMEORIGIN”,但没有帮助: 我从 settings.py 中的中间件中删除了 XFrame 包。 我放了
谁要向 Authentik 添加 X-Frame-Options?
目前我正在开发我的 HomeLab 基础设施。不幸的是,我遇到了一个无法解决的问题。 以下组件受到影响 Nginx 代理管理器 正宗 达西 我的目标是...
使用 X-Frame-Options 或头盔防止 MERN App 上的点击劫持
我正在尝试使用 React 和 Node 创建 Web 应用程序,它可以防止点击劫持,我知道我需要将 X-Frame-Options 设置为手动拒绝或使用头盔来防止
我在 000webhost 网站上创建了一个视频嵌入页面,然后它将嵌入到我在 Blogger 上运行的其他网站中。我不希望任何人直接访问 000webhost 视频页面或嵌入...
Spring Security Anotation @EnableWebSecurity在Spring MVC项目中不起作用。
我必须在我的spring MVC项目中启用X-Frame-Options.SAMEORIGIN,以便在http响应头中返回这个参数。在我的Spring MVC项目中启用了X-Frame-Options: SAMEORIGIN,以便在http响应头中返回这个参数。项目部署在Apache Tomcat 9上,以下是我的网络安全配置......
将NGINX中的X-Frame_options从Deny always改为Sameorigin。
我设置了add_header X-Frame-Options deny always;.现在我想改成SAMEORIGIN。现在我想把它改为SAMEORIGIN。为此,我修改了 etcniginxsites-availablemy_domain #add_header X-Frame-Options deny always; ...
"Content-Security-Policy","frame-ancestors 'none'"不工作。
我有下面的java过滤器有CSP到我的Angular应用程序的每个响应。 public class FrameOptionsFilter implements Filter { @Override public void doFilter(ServletRequest request, ...
我重定向/转发(iframe)在ionos.com上注册的域到AWS ec2免费层托管的Spring Boot嵌入式tomcat Java应用程序,这样人们看不到ec2的长网址,我在...
此内容无法显示在框架中-月食(displayHelpResource(href))
我正在尝试通过displayHelpResource(href)函数在应用程序中打开URL。但是正在向我显示以下内容:无法在框架中显示此内容,以帮助保护安全性...
我需要在iframe中加载HTML文件,但出现下一个错误:拒绝在框架中显示'http:// localhost:8080 / xxxxxx / resources / xxxxx.html',因为它设置了'X-Frame-Options ' 否认'。 ¿我如何...
如何将X-Frame-Options标头设置为Jboss-as-7.1.1.Final?要求是在服务器的欢迎页面中设置此标头
未在此URL http:// portalappdev03:8088 / index.html中设置X-Frame-Option。该URL呈现Jboss欢迎页面。
Shopify嵌入式UI在初始安装时不会加载到嵌入式iframe中
几周前提交了我的应用程序,但遭到拒绝,问题之一是:安装该应用程序后,我被重定向到了非嵌入式版本。从...
我的大部分iframe成功加载,但随后又有少数被Firefox阻止。 'X-Frame-Options拒绝加载:“ DENY”'
显示我的问题的firefox控制台的屏幕快照该页面上大约有100个iframe,xframe选项阻止了少数iframe,而其他则没有。 iframe全部来自...
由于'X-Frame-Options'设置为'sameorigin',因此拒绝在帧中显示LOCALHOST
此问题专门针对本地主机。我试图将一个本地主机网页嵌入到另一个本地主机网页中,但是它指出无法完成此操作。这是镀铬的消息...
我需要能够删除x-frame-options响应标头,以便将外部页面嵌入到iFrame中,这可能吗?我已经看过各种各样的事情,因为...