如果我像这样创建一个iframe:
var dialog = $('<div id="' + dialogId + '" align="center"><iframe id="' + frameId + '" src="' + url + '" width="100%" frameborder="0" height="'+frameHeightForIe8+'" data-ssotoken="' + token + '"></iframe></div>').dialog({
我如何修复这个错误:
拒绝在帧中显示“https://www.google.com.ua/?gws_rd=ssl”,因为它将“X-Frame-Options”设置为“SAMEORIGIN”。
使用JavaScript ?
当前回答
不是真的…我使用
<system.webServer>
<httpProtocol allowKeepAlive="true" >
<customHeaders>
<add name="X-Frame-Options" value="*" />
</customHeaders>
</httpProtocol>
</system.webServer>
其他回答
由于解决方案并没有真正提到服务器端:
一个人必须这样设置(例如apache),这不是最好的选择,因为它允许所有的事情,但在你看到你的服务器正常工作后,你可以很容易地改变设置。
Header set Access-Control-Allow-Origin "*"
Header set X-Frame-Options "allow-from *"
X-Frame-Options是请求响应中包含的报头,用于声明所请求的域是否允许在帧中显示。它与javascript或HTML无关,也不能由请求的发起者更改。
本网站已设置此标头以禁止在iframe中显示。在客户端web浏览器中无法阻止这种行为。
进一步阅读X-Frame-Options
不是真的…我使用
<system.webServer>
<httpProtocol allowKeepAlive="true" >
<customHeaders>
<add name="X-Frame-Options" value="*" />
</customHeaders>
</httpProtocol>
</system.webServer>
(我重新提出这个答案是因为我想分享我为解决这个问题而创建的变通方法)
如果您无法访问在<iframe>元素中托管您想要服务的网页的网站,您可以通过使用启用cors的反向代理来绕过X-Frame-Options SAMEORIGIN限制,该反向代理可以从web服务器(上游)请求web页面并将它们提供给最终用户。
下面是这个概念的可视化图表:
由于我对我发现的CORS代理不满意,我最终自己创建了一个,我称之为CORSflare:它被设计为在Cloudflare Worker(无服务器计算)中运行,因此它是一个100%免费的解决方案-只要你不需要它每天接受超过100,000个请求。
你可以在GitHub上找到代理源代码;完整的文档,包括安装说明,可以在我博客的这篇文章中找到。
解决方案是安装一个浏览器插件。
一个发布HTTP报头X-Frame-Options值为DENY(或具有不同服务器源的SAMEORIGIN)的网站不能集成到IFRAME中…除非你通过安装一个忽略X-Frame- options报头的浏览器插件来改变这种行为(例如Chrome的忽略X-Frame报头)。
注意,出于安全原因,根本不建议这样做。
