Подолання "Дисплей заборонений параметрами X-Frame"

Я пишу крихітну веб-сторінку, метою якої є створення декількох інших сторінок, просто їх об'єднання в одне вікно браузера для зручності перегляду. Кілька сторінок, які я намагаюся обрамляти, забороняють оформляти кадр і кидати "Відмовлено у відображенні документа, оскільки показ заборонений X-Frame-Options". помилка в Chrome. Я розумію, що це обмеження безпеки (з поважних причин), і не маю доступу для його зміни.

Чи існує якийсь альтернативний метод кадрування або без кадрування для відображення сторінок в одному вікні, яке не запускатиметься заголовком X-Frame-Options?

У мене була подібна проблема, коли я намагався відобразити вміст із власного сайту в рамці iframe (як діалогове вікно стилю лайтбоксу з Colorbox ), і де у нас на загальному сервері заголовок "X-Frame-Options SAMEORIGIN" на вихідний сервер, що запобігає завантаженню на наш тестовий сервер.

Це, здається, ніде не задокументовано, але якщо ви можете редагувати сторінки, які ви намагаєтесь отримати кадр (наприклад, це ваші власні сторінки), просто надіславши інший заголовок X-Frame-Options з будь-яким рядком і зовсім вимкнеться. команди SAMEORIGIN або DENY.

напр. для PHP, ставлячи

<?php
    header('X-Frame-Options: GOFORIT'); 
?>

у верхній частині сторінки веб-переглядачі змусять браузери поєднувати два, що призводить до заголовка

X-Frame-Options SAMEORIGIN, GOFORIT

... і дозволяє завантажувати сторінку в iframe. Це, здається, працює, коли початкова команда SAMEORIGIN була встановлена ​​на рівні сервера, і ви хочете змінити її в регістрі сторінок за сторінкою.

Все найкраще!

Якщо ви отримуєте цю помилку для відео YouTube, замість того, щоб використовувати повну URL-адресу, використовуйте вбудовуваний URL з параметрів спільного доступу. Це буде виглядати такhttp://www.youtube.com/embed/eCfDxZxTBW4

Ви також можете замінити watch?v= з embed/таким http://www.youtube.com/watch?v=eCfDxZxTBW4стаєhttp://www.youtube.com/embed/eCfDxZxTBW4

Якщо ви отримуєте цю помилку під час спроби вбудувати карту Google у iframe, вам потрібно додати &output=embedдо вихідного посилання.

ОНОВЛЕННЯ 2019: Ви можете обійти X-Frame-Optionsза <iframe>допомогою лише JavaScript на стороні клієнта та мій веб-компонент X-Frame-Bypass . Ось демонстрація: Hacker News in anX-Frame-Bypass . (Випробувано в Chrome і Firefox.)

Додавання а

  target='_top'

на моє посилання на вкладці у Facebook вирішили проблему для мене ...

Існує плагін для Chrome, який видаляє цей запис заголовка (лише для особистого використання):

https://chrome.google.com/webstore/detail/ignore-x-frame-headers/gleekbfjekiniecknbkamfmkohkpodhe/reviews

Якщо ви отримуєте цю помилку, намагаючись вставити вміст Vimeo, змініть src iframe,

з: https://vimeo.com/63534746
на: http://player.vimeo.com/video/63534746

У мене виникло таке ж питання, коли я спробував вставити настрій настрою 2 в iframe, рішення є Site administration ► Security ► HTTP securityі перевіритиAllow frame embedding

Це рішення хлопці !!

FB.Event.subscribe('edge.create', function(response) {
    window.top.location.href = 'url';
});

Єдине, що працювало для додатків у facebook!

Здається, що параметри X-Frame Allow-From https: // ... знецінюються та замінюються (і ігноруються), якщо ви використовуєте політику вмісту-безпеки замість цього використовуєте заголовок .

Ось повна довідка: https://content-security-policy.com/

Рішення для завантаження зовнішнього веб-сайту в iFrame навіть жорсткий варіант x-frame встановлений для заборони на зовнішньому веб-сайті.

Якщо ви хочете завантажити інший веб-сайт в iFrame, ви отримаєте Display forbidden by X-Frame-Options” помилку, ви можете реально подолати це, створивши проксі-сервер на скрипті.

The srcАтрибут плаваючого фрейма може мати URL виду:/proxy.php?url=https://www.example.com/page&key=somekey

Тоді proxy.php виглядатиме приблизно так:

if (isValidRequest()) {
   echo file_get_contents($_GET['url']);
}

function isValidRequest() {
    return $_SERVER['REQUEST_METHOD'] === 'GET' && isset($_GET['key']) && 
    $_GET['key'] === 'somekey';
}

Це передає блок, оскільки це просто GET-запит, який, можливо, був звичайним відвідуванням сторінки браузера.

Будьте в курсі: можливо, ви хочете покращити безпеку в цьому сценарії. Тому що хакери можуть почати завантажувати веб-сторінки через ваш проксі-скрипт.

Я спробував майже всі пропозиції. Однак єдине, що справді вирішило це питання:

1. Створіть .htaccessу тій самій папці, де лежить ваш PHP-файл.

2. Додайте цей рядок до htaccess:

   Header always unset X-Frame-Options

Вбудовування PHP за допомогою iframe з іншого домену має працювати згодом.

Крім того, ви можете додати файл на початку PHP:

header('X-Frame-Options: ALLOW');

Що в моєму випадку було не потрібно.

У мене була така ж проблема з mediawiki. Це було через те, що сервер відмовив вкладати сторінку в iframe з міркувань безпеки.

Я вирішив це написання

$wgEditPageFrameOptions = "SAMEORIGIN"; 

у конфігураційний файл mediawiki php.

Сподіваюся, це допомагає.

FWIW:

У нас була ситуація, коли нам потрібно було вбити наших, iFrameколи з'явився цей код "вимикача". Отже, я використовував PHP, function get_headers($url);щоб перевірити віддалену URL-адресу, перш ніж показувати її в iFrame. Для кращої продуктивності я кешував результати у файл, тому я не встановлював HTTP-з'єднання кожного разу.

Я використовував Tomcat 8.0.30, жодна з пропозицій не працювала для мене. Оскільки ми хочемо оновити X-Frame-Optionsта встановити його ALLOW, ось як я налаштував, щоб дозволити вставляти рамки iframes:

• Перейдіть у каталог Tomcat conf, відредагуйте файл web.xml
• Додайте нижній фільтр:

<filter>
            <filter-name>httpHeaderSecurity</filter-name>
            <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
                   <init-param>
                           <param-name>hstsEnabled</param-name>
                           <param-value>true</param-value>
                   </init-param>
                   <init-param>
                           <param-name>antiClickJackingEnabled</param-name>
                           <param-value>true</param-value>
                   </init-param>
                   <init-param>
                           <param-name>antiClickJackingOption</param-name>
                           <param-value>ALLOW-FROM</param-value>
                   </init-param>
            <async-supported>true</async-supported>
       </filter>

       <filter-mapping>
                   <filter-name>httpHeaderSecurity</filter-name>
                   <url-pattern>/*</url-pattern>
                   <dispatcher>REQUEST</dispatcher>
       </filter-mapping> 

• Перезавантажте сервіс Tomcat
• Доступ до ресурсів за допомогою iFrame.

Єдине питання, на яке є купа відповідей. ПОПЕРЕДЖАЙТЕ до керівництва, яке б я хотів, коли я намагався це зробити, щоб він працював о 10:30 вночі в кінцевий день ... FB робить якісь дивні речі з полотняними програмами, і добре, вас попередили. Якщо ви все ще тут і у вас є додаток Rails, яке з’явиться за полотном Facebook, вам знадобиться:

Gemfile:

gem "rack-facebook-signed-request", :git => 'git://github.com/cmer/rack-facebook-signed-request.git'

config / facebook.yml

facebook:
  key: "123123123123"
  secret: "123123123123123123secret12312"

config / application.rb

config.middleware.use Rack::Facebook::SignedRequest, app_id: "123123123123", secret: "123123123123123123secret12312", inject_facebook: false

config / ініціалізатори / omniauth.rb

OmniAuth.config.logger = Rails.logger
SERVICES = YAML.load(File.open("#{::Rails.root}/config/oauth.yml").read)
Rails.application.config.middleware.use OmniAuth::Builder do
  provider :facebook, SERVICES['facebook']['key'], SERVICES['facebook']['secret'], iframe:   true
end

application_controller.rb

before_filter :add_xframe
def add_xframe
  headers['X-Frame-Options'] = 'GOFORIT'
end

Вам потрібен контролер, щоб зателефонувати з налаштувань полотна Facebook, я використав /canvas/і зробив маршрут основним SiteControllerдля цього додатка:

class SiteController < ApplicationController
  def index
    @user = User.new
  end
  def canvas
    redirect_to '/auth/failure' if request.params['error'] == 'access_denied'
    url = params['code'] ? "/auth/facebook?signed_request=#{params['signed_request']}&state=canvas" : "/login"
    redirect_to url
  end
  def login
  end
end

login.html.erb

<% content_for :javascript do %>
  var oauth_url = 'https://www.facebook.com/dialog/oauth/';
  oauth_url += '?client_id=471466299609256';
  oauth_url += '&redirect_uri=' + encodeURIComponent('https://apps.facebook.com/wellbeingtracker/');
  oauth_url += '&scope=email,status_update,publish_stream';
console.log(oauth_url);
  top.location.href = oauth_url;
<% end %>

Джерела

• Я думаю, що конфігурація вийшла з прикладу omniauth.
• Файл дорогоцінного каміння (який є ключовим !!!) прийшов із: слайд-речей, які я дізнався ...
• У цьому питанні про стек був весь кут Xframe, тому ви отримаєте порожнє місце, якщо не помістите цей заголовок у контролер програми.
• А мій чоловік @rafmagana написав цей посібник з героїкою , який тепер можна прийняти за рейки з цією відповіддю та плечима гігантів, в яких ти ходиш.

target = '_ батьків'

Використовуючи ідею Кевіна Велла, я спробував додати цей атрибут для формування елементів, створених генератором кнопок PayPal. Для мене працювали, щоб Paypal не відкривався у новому вікні / вкладці браузера.

Я не впевнений, наскільки це актуально, але я створив обробку для цього. На своєму сайті я хотів відобразити посилання у модальному вікні, яке містило iframe, який завантажує URL-адресу.

Що я зробив, я пов’язав подію натискання посилання на цю функцію javascript. Все це - це зробити запит у файл PHP, який перевіряє заголовки URL-адрес на параметри X-FRAME, перш ніж вирішити, завантажувати URL-адресу в модальне вікно чи перенаправляти.

Ось функція:

  function opentheater(link, title){
        $.get( "url_origin_helper.php?url="+encodeURIComponent(link), function( data ) {
  if(data == "ya"){
      $(".modal-title").html("<h3 style='color:480060;'>"+title+"&nbsp;&nbsp;&nbsp;<small>"+link+"</small></h3>");
        $("#linkcontent").attr("src", link);
        $("#myModal").modal("show");
  }
  else{
      window.location.href = link;
      //alert(data);
  }
});


        }

Ось код файлу PHP, який перевіряє його:

<?php
$url = rawurldecode($_REQUEST['url']);
$header = get_headers($url, 1);
if(array_key_exists("X-Frame-Options", $header)){
    echo "nein";
}
else{
    echo "ya";
}


?>

Сподіваюсь, це допомагає.

Я зіткнувся з цим питанням під час запуску веб-сайту Wordpress. Я намагався вирішити всілякі речі, і не знав, як, зрештою, проблема полягала в тому, що я використовував DNS-переадресацію з маскуванням, а посилання на зовнішні сайти не були адресовані належним чином. тобто мій сайт розміщено за адресою http: //123.456.789/index.html, але його замаскували для запуску за адресою http://somewebSite.com/index.html . Коли я ввійшов http: //123.456.789/index.html у веб-переглядачі натискання цих же посилань не призвело до виникнення проблем із початком X-кадру на консолі JS, але запускається http://somewebSite.com/index.htmlзробила. Щоб правильно замаскувати, потрібно додати сервери імен DNS вашого хоста до служби домену, тобто godaddy.com повинен мати сервери імен, наприклад, ns1.digitalocean.com, ns2.digitalocean.com, ns3.digitalocean.com, якщо ви були використання digitalocean.com як хостингової послуги.

Дивно, що тут ніхто ніколи не згадував Apacheналаштування ( *.confфайли) сервера або .htaccessсам файл як причину цієї помилки. Шукайте через ваші файли .htaccessчи Apacheфайли конфігурації, переконайтесь, що у вас немає наступного параметра DENY:

Header always set X-Frame-Options DENY

Змінивши його SAMEORIGIN, змушує роботу працювати так, як очікувалося:

Header always set X-Frame-Options SAMEORIGIN

Єдина реальна відповідь, якщо ви не керуєте заголовками у своєму джерелі, який ви хочете у вашому iframe, - це проксі. Запропонуйте серверу діяти як клієнт, отримати джерело, зняти проблемні заголовки, додати CORS, якщо потрібно, а потім пінг власного сервера.

Є ще одна відповідь, яка пояснює, як написати такий проксі. Це не важко, але я був впевнений, що хтось мав це робити раніше. Це було просто важко знайти, чомусь.

Нарешті я знайшов деякі джерела:

https://github.com/Rob--W/cors-anywhere/#documentation

^ кращий. Якщо вам потрібне рідкісне використання, я думаю, ви можете просто скористатися його програмою heroku. В іншому випадку це код запустити його самостійно на власному сервері. Зверніть увагу, які обмеження є.

whateverorigin.org

^ другий вибір, але досить старий. нібито новіший вибір у python: https://github.com/Eiledon/alloworigin

то є третій вибір:

http://anyorigin.com/

Це, здається, дозволяє трохи скористатися безкоштовним використанням, але додасть вас до загальнодоступного списку ганьби, якщо ви не заплатите та не скористаєтесь певною сумою, яку ви можете зняти, лише якщо сплатите плату ...

Не згадується, але може допомогти в деяких випадках:

var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function() {
    if (xhr.readyState !== 4) return;
    if (xhr.status === 200) {
        var doc = iframe.contentWindow.document;
        doc.open();
        doc.write(xhr.responseText);
        doc.close();
    }
}
xhr.open('GET', url, true);
xhr.send(null);

Використовуйте цей рядок, поданий нижче замість header()функції.

echo "<script>window.top.location = 'https://apps.facebook.com/yourappnamespace/';</script>";

У мене була ця проблема, і я вирішив її, редагуючи https.conf

<IfModule headers_module>
    <IfVersion >= 2.4.7 >
        Header always setifempty X-Frame-Options GOFORIT
    </IfVersion>
    <IfVersion < 2.4.7 >
        Header always merge X-Frame-Options GOFORIT
    </IfVersion>
</IfModule>

я змінив SAMEORIGIN на GOFORIT і перезапустив сервер

Спробуйте це, я не думаю, що хтось запропонував це в темі, це вирішить, як 70% вашої проблеми, для деяких інших сторінок вам доведеться брати лом, у мене є повне рішення, але не для публічного,

ДОДАТИ нижче до вашого рамки

sandbox = "дозволити-сценарії дозволу з однаковим походженням

Редагуйте .htaccess, якщо ви хочете видалити параметри X-Frame з усієї каталогу.

І додайте рядок: Заголовок завжди знімає параметри X-Frame

[вміст із: Подолання "Дисплей заборонений для параметрів X-Frame"