X-Frame-Options SAMEORIGIN在我的域名上阻止iframe
我正在使用http://www.jacklmoore.com/colorbox在灯箱中显示url的内容。 实施后,彩盒没有显示任何东西。
后来,我注意到chrome日志中出现以下错误:
Refused to display document because display forbidden by X-Frame-Options.
所以在记录之后我将以下行添加到网站的根.htaccess:
Header always append X-Frame-Options SAMEORIGIN
允许iframe嵌入我自己的域名。
但我仍然得到错误,我是x-frame的新手,我正在研究现有的应用程序,所以我认为.htaccess解决方案会很好,但它可以被一些代码覆盖吗? 请注意,它不在服务器配置中。
尝试发送另一个X-Frame-Options标题,添加
到页面顶部。 它应该禁用SAMEORIGIN命令。
根据moz dev页面。 这是定义
SAMEORIGIN
页面只能显示在与页面本身相同的原点的框架中。
这意味着只有当您包含来自您网站的某些页面时才会显示。
让我们假设
- 你在http://foo.com上有一个网站,你希望在http://foo.com/sec_page中显示iframe中的内容,它将显示在iframe中
- 但如果你嵌入相同的iframe( http://foo.com/sec_page )加载到http://bar.com然后它将不会显示任何内容。 因为起源会改变。
你可以在这里阅读完整的说明
您可以从获得的响应中删除标头:
header_remove( “X-帧-选项”);
我在httpd.conf
添加了这个:
Header unset X-Frame-Options
它有效。
将XFrame选项设置为DENY或Sameorigin。 否则,如果您的站点容易受到XSS攻击,它可能有助于制作网络钓鱼攻击或帧注入。