Якщо я створю iframeподібний:
var dialog = $('<div id="' + dialogId + '" align="center"><iframe id="' + frameId + '" src="' + url + '" width="100%" frameborder="0" height="'+frameHeightForIe8+'" data-ssotoken="' + token + '"></iframe></div>').dialog({Як виправити помилку:
Відмовляється відображатись
'https://www.google.com.ua/?gws_rd=ssl'у кадрі, оскільки він встановив "Параметри X-Frame" на "SAMEORIGIN".
з JavaScript?
Відповіді:
Ви не можете встановити X-Frame-Optionsна iframe. Це заголовок відповіді, встановлений доменом, з якого ви запитуєте ресурс ( google.com.uaу вашому прикладі). У SAMEORIGINцьому випадку вони встановили заголовок , що означає, що вони заборонили завантажувати ресурс за iframeмежами свого домену. Для отримання додаткової інформації див заголовок відповіді X-Frame-Options на MDN.
Швидкий огляд заголовків (показаний тут у інструментах для розробників Chrome) дозволяє виявити X-Frame-Optionsзначення, повернене від хоста.
X-Frame-Optionsє заголовком, включеним у відповідь на запит про те, якщо запитуваний домен дозволить себе відображати в кадрі. Це не має нічого спільного з JavaScript або HTML і не може бути змінено джерелом запиту.
Цей веб-сайт встановив цей заголовок, щоб заборонити його відображення в iframe. Клієнт нічого не може зробити, щоб зупинити таку поведінку.
Якщо ви керуєте Сервером, який надсилає вміст iframe, ви можете встановити налаштування X-Frame-Optionsу своєму веб-сервері.
Щоб надіслати заголовок X-Frame-Options для всіх сторінок, додайте це до конфігурації вашого сайту:
Header always append X-Frame-Options SAMEORIGINЩоб налаштувати nginx для надсилання заголовка X-Frame-Options, додайте це або до конфігурації http, сервера чи місцезнаходження:
add_header X-Frame-Options SAMEORIGIN;Цей варіант заголовка необов’язковий, тому якщо параметр зовсім не встановлений, ви дасте можливість налаштувати це в наступний екземпляр (наприклад, браузер відвідувачів або проксі)
джерело: https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
add_header Strict-Transport-Security "max-age=86400; includeSubdomains"; add_header X-Frame-Options DENY;з nginx-фрагментів, а потім він працював відразу.
Оскільки рішення насправді не згадувалося для серверної сторони:
Потрібно встановити такі речі (наприклад, від apache), це не найкращий варіант, оскільки це дозволяє у всьому, але, побачивши, що ваш сервер працює правильно, ви можете легко змінити налаштування.
Header set Access-Control-Allow-Origin "*"
Header set X-Frame-Options "allow-from *"не дуже ... я звик
<system.webServer>
<httpProtocol allowKeepAlive="true" >
<customHeaders>
<add name="X-Frame-Options" value="*" />
</customHeaders>
</httpProtocol>
</system.webServer>і якщо нічого не допомагає, і ви все ще хочете представити цей веб-сайт в iframe, розгляньте можливість використання X Frame Bypass Component, який використовуватиме проксі.
X-Frame-Options HTTP - заголовок відповіді може бути використаний , щоб вказати , чи повинен браузер дозволено відобразити сторінку в <frame>, <iframe>або <object>. Сайти можуть використовувати це, щоб уникнути атак натискань, гарантуючи, що їх вміст не вбудовується на інші сайти.
Для отримання додаткової інформації: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
У мене є альтернативне рішення цієї проблеми, яке я хочу продемонструвати за допомогою PHP:
iframe.php:
<iframe src="target_url.php" width="925" height="2400" frameborder="0" ></iframe>target_url.php:
<?php
echo file_get_contents("http://www.example.com");
?>Для цього вам потрібно узгодити розташування у вашому апачі або будь-якій іншій службі, яку ви використовуєте
Якщо ви використовуєте apache, тоді у файлі httpd.conf.
<LocationMatch "/your_relative_path">
ProxyPass absolute_path_of_your_application/your_relative_path
ProxyPassReverse absolute_path_of_your_application/your_relative_path
</LocationMatch>Рішення - встановити плагін браузера.
Веб-сайт, який видає заголовку HTTP X-Frame-Optionsзі значенням DENY(або SAMEORIGINз іншим походженням сервера), не може бути інтегрований у IFRAME ... якщо ви не зміните цю поведінку, встановивши плагін браузера, який ігнорує X-Frame-Optionsзаголовка (наприклад , Ігнорувати заголовки X-Frame Chrome) ).
Зауважте, що це зовсім не рекомендується з міркувань безпеки.
ви можете встановити параметр x-frame у веб-конфігурації веб-сайту, який ви хочете завантажити у iframe, як це
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="*" />
</customHeaders>
</httpProtocol>Ви не можете дійсно додати x-iframe у своєму HTML-тілі, оскільки він повинен бути наданий власником сайту, і він лежить у межах правил сервера.
Можливо, ви можете створити файл PHP, який завантажує вміст цільової URL-адреси та iframe, що це URL-адреса, це повинно працювати безперебійно.
Ви можете зробити це в конфігураційному файлі рівня екземпляра tomcat (web.xml), щоб додати "фільтр" та відображення фільтрів "у файл конфігурації web.xml. це додасть [X-frame-options = DENY] на всю сторінку, оскільки це глобальне налаштування.
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<async-supported>true</async-supported>
<init-param>
<param-name>antiClickJackingEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>DENY</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>Якщо ви дотримуєтеся xml підходу, то нижче код буде працювати.
<security:headers>
<security:frame-options />
<security:cache-control />
<security:content-type-options />
<security:xss-protection />
</security:headers>
<security:http>