我正在写一个小网页,它的目的是框架其他一些页面,只是为了将它们合并到一个浏览器窗口中,以便于查看。一些页面,我试图框架禁止被框架,并抛出“拒绝显示文档,因为显示禁止X-Frame-Options.”错误在Chrome。我知道这是一个安全限制(有充分的理由),并且无法更改它。
是否有任何替代的框架或非框架方法来在单个窗口中显示页面,而不会被X-Frame-Options报头绊倒?
当前回答
网站所有者使用X-Frame-Options响应报头,这样他们的网站就不能在Iframe中打开。这有助于保护用户免受点击劫持攻击
如果你想在自己的机器上禁用X-Frame-Options,可以尝试几种方法。
服务器端配置
如果您拥有服务器或可以与站点所有者合作,那么您可以要求设置一个配置,以根据某些条件不发送Iframe buster响应标头。条件可以是额外的请求头或URL中的参数。
例如,站点所有者可以添加一个额外的代码,当站点打开时不发送Iframe buster报头,使用?in_debug_mode=true查询参数。
使用浏览器扩展,如Requestly删除响应头
您可以使用任何浏览器扩展,如Requestly,它允许您修改请求和响应头。这里有一个Requestly博客,解释了如何在Iframe中嵌入站点,绕过Iframe buster头。
配置一个直通代理,并从它删除标题
如果你需要为多人绕过Iframe buster报头,那么你也可以配置一个直通代理,它只删除帧buster响应报头并返回响应。然而,这是一个非常复杂的编写和设置。还有一些其他的挑战,比如通过代理在Iframe中打开的站点的身份验证等,但这种方法可以很好地用于简单的站点。
PS -我已经建立了这两个解决方案,并有第一手的经验。
其他回答
网站所有者使用X-Frame-Options响应报头,这样他们的网站就不能在Iframe中打开。这有助于保护用户免受点击劫持攻击
如果你想在自己的机器上禁用X-Frame-Options,可以尝试几种方法。
服务器端配置
如果您拥有服务器或可以与站点所有者合作,那么您可以要求设置一个配置,以根据某些条件不发送Iframe buster响应标头。条件可以是额外的请求头或URL中的参数。
例如,站点所有者可以添加一个额外的代码,当站点打开时不发送Iframe buster报头,使用?in_debug_mode=true查询参数。
使用浏览器扩展,如Requestly删除响应头
您可以使用任何浏览器扩展,如Requestly,它允许您修改请求和响应头。这里有一个Requestly博客,解释了如何在Iframe中嵌入站点,绕过Iframe buster头。
配置一个直通代理,并从它删除标题
如果你需要为多人绕过Iframe buster报头,那么你也可以配置一个直通代理,它只删除帧buster响应报头并返回响应。然而,这是一个非常复杂的编写和设置。还有一些其他的挑战,比如通过代理在Iframe中打开的站点的身份验证等,但这种方法可以很好地用于简单的站点。
PS -我已经建立了这两个解决方案,并有第一手的经验。
我有一个类似的问题,我试图在一个iframe中显示我们自己网站的内容(作为一个带有Colorbox的lightbox样式的对话框),并且我们在源服务器上有一个服务器范围的“X-Frame-Options SAMEORIGIN”报头,防止它加载到我们的测试服务器上。
这似乎没有被记录在任何地方,但如果你可以编辑你试图iframe的页面(例如。,它们是你自己的页面),简单地发送另一个X-Frame-Options报头,任何字符串都禁用SAMEORIGIN或DENY命令。
如。对于PHP,放入
<?php
header('X-Frame-Options: GOFORIT');
?>
在页面的顶部会使浏览器将两者结合起来,从而导致页眉为
X-Frame-Options SAMEORIGIN, GOFORIT
...并允许您在iframe中加载页面。当初始的SAMEORIGIN命令设置在服务器级别时,这似乎可以工作,并且您希望在逐页情况下重写它。
祝你一切顺利!
将外部网站加载到iFrame的解决方案,即使外部网站的x帧选项设置为拒绝。
如果你想将其他网站加载到iFrame中,而你得到了X-Frame-Options禁止显示的错误,那么你实际上可以通过创建一个服务器端代理脚本来克服这个问题。
iFrame的src属性可以有这样一个url:/ proxy.php?url=https://www.example.com/page&key=somekey
那么proxy.php看起来就像这样:
if (isValidRequest()) {
echo file_get_contents($_GET['url']);
}
function isValidRequest() {
return $_SERVER['REQUEST_METHOD'] === 'GET' && isset($_GET['key']) &&
$_GET['key'] === 'somekey';
}
这通过传递块,因为它只是一个GET请求,可能是一个普通的浏览器页面访问。
注意:您可能需要改进此脚本中的安全性。因为黑客可以通过你的代理脚本开始加载网页。
如果你在YouTube视频中遇到这个错误,不要使用完整的url,而是使用共享选项中的嵌入url。它看起来像http://www.youtube.com/embed/eCfDxZxTBW4
您还可以更换手表吗?v= with embed/ so http://www.youtube.com/watch?v=eCfDxZxTBW4变成http://www.youtube.com/embed/eCfDxZxTBW4
我在mediawiki上遇到了同样的问题,这是因为服务器出于安全原因拒绝将页面嵌入到iframe中。
我写了
$wgEditPageFrameOptions = "SAMEORIGIN";
导入mediawiki PHP配置文件。
希望能有所帮助。
推荐文章
- 加载资源:net::ERR_INSECURE_RESPONSE失败
- 覆盖iframe中内容的主体样式
- 如何设置一个iframe src属性从一个变量在AngularJS
- "全屏" <iframe> .
- 如何在iframe上设置“x帧选项”?
- iFrame src变化事件检测?
- HTML5 iFrames的替代方案
- 从iframe访问父URL
- 如何嵌入一个自动播放的YouTube视频在iframe?
- 如何在iframe和父站点之间进行通信?
- iframe, embed和object元素之间的区别
- 使iframe高度动态基于内容里面- JQUERY/Javascript
- 如何使用jquery访问iFrame父页面?
- 如何水平居中iframe ?
- 重载/刷新iframe的最佳方法是什么?
