X-Frame-Options SAMEORIGIN在我的域上阻止iframe
X-Frame-Options SAMEORIGIN blocking iframe on my domain
我正在使用http://www.jacklmoore.com/colorbox以在灯箱中显示url的内容。实现后,colorbox没有显示任何内容。
后来,我在chrome日志中注意到以下错误:
Refused to display document because display forbidden by X-Frame-Options.
因此,在记录之后,我在网站的root.htaccess中添加了以下行:
Header always append X-Frame-Options SAMEORIGIN
允许iframe嵌入到我自己的域中。
但我仍然会遇到错误,我是x-frame的新手,而且我正在开发一个现有的应用程序,所以我认为.htaccess解决方案会很好,但它会被一些代码覆盖吗?请注意,它不在服务器配置中。
尝试发送另一个X-Frame-Options标头,添加
<?php header('X-Frame-Options: GOFORIT'); ?>
到页面顶部。它应该禁用SAMEORIGIN命令。
根据moz-dev页面。以下是的定义
SAMEORIGIN
页面只能显示在与页面本身。
这意味着,只有当你包括一些页面从你的网站会显示
假设
- 你有一个网站http://foo.com并且您希望在iframe中显示来自http://foo.com/sec_page它会出现在iframe中
- 但是如果嵌入相同的iframe(http://foo.com/sec_page)加载http://bar.com那么它将不显示任何内容。因为起源会改变
您可以在此处阅读完整的注释
您可以从得到的响应中删除标题:
header_remove("X-Frame-Options")
我在httpd.conf
:中添加了这个
Header unset X-Frame-Options
它是有效的。
将XFrame Options设置为DENY或Sameorigin。否则,如果您的网站易受XSS攻击,它可能有助于策划网络钓鱼攻击或帧注入。
相关文章:
- 防止Iframe窗体在新窗口中打开
- 将样式表插入iframe
- 在Twitter上用ie9中的空白src访问iframe的contentWindow
- 使用jQuery从原始页面内容创建iframe
- Highslide(iframe的侦听器)
- iframe正在添加标签,需要删除它们
- 通过javascript/html访问twitter共享iframe
- 如何在Facebook上的iframe应用程序中使后退按钮返回到上一页
- 如何使用Angular动态添加iframe-src
- 由于iframe导致的问题
- 正在从页面中删除iframe
- 检测iframe是否跨域的愚蠢方法
- 是否可以使用iframe API在iOS浏览器上播放youtube视频
- 如何操作iframe之外的元素
- 如何使用javascript/jquery获取iframe的URL的锚点属性
- X-Frame-Options SAMEORIGIN在我的域上阻止iframe
- 如何使用X-Frame-Options SAMEORIGIN对来自同一域的页面进行iframe
- Iframe Alt Text当X-Frame-Options:SAMEORIGIN|DENY的Iframe加载错误时
- 如何嵌入translate.google.com没有iframe/对象(x - frame选项是SAMEORIGIN)
- 使用try块捕获'sameorigin'加载iframe时出错