X-Frame-Options SAMEORIGIN在我的域名上阻止iframe

我正在使用http://www.jacklmoore.com/colorbox在灯箱中显示url的内容。 实施后,彩盒没有显示任何东西。

后来,我注意到chrome日志中出现以下错误: 

Refused to display document because display forbidden by X-Frame-Options.

所以在记录之后我将以下行添加到网站的根.htaccess: 

 Header always append X-Frame-Options SAMEORIGIN

允许iframe嵌入我自己的域名。

但我仍然得到错误,我是x-frame的新手,我正在研究现有的应用程序,所以我认为.htaccess解决方案会很好,但它可以被一些代码覆盖吗? 请注意,它不在服务器配置中。

尝试发送另一个X-Frame-Options标题,添加

到页面顶部。 它应该禁用SAMEORIGIN命令。

根据moz dev页面。 这是定义

SAMEORIGIN
页面只能显示在与页面本身相同的原点的框架中。

这意味着只有当您包含来自您网站的某些页面时才会显示。
让我们假设

  1. 你在http://foo.com上有一个网站,你希望在http://foo.com/sec_page中显示iframe中的内容,它将显示在iframe中
  2. 但如果你嵌入相同的iframe( http://foo.com/sec_page )加载到http://bar.com然后它将不会显示任何内容。 因为起源会改变。

你可以在这里阅读完整的说明

您可以从获得的响应中删除标头:

header_remove( “X-帧-选项”);

我在httpd.conf添加了这个: 

  Header unset X-Frame-Options

它有效。

将XFrame选项设置为DENY或Sameorigin。 否则,如果您的站点容易受到XSS攻击,它可能有助于制作网络钓鱼攻击或帧注入。

Interesting Posts

colorbox和防止默认无法一起工作?

使用cookie仅在第一页加载时加载彩盒

Colorbox在IE中无法正确加载

jQuery – 带有colorbox的Flickr插件 – gallery显示以前的照片

将colorbox添加到带有url内容的动态创建的项目中

使用Jquery颜色框和通过Aspx读取的动态图像时出现问题

这个错误意味着请求失败:nsresult:“0x80004005(NS_ERROR_FAILURE)

首次打开时,Colorbox无法以适当的高度打开

如何在彩色框中滚动打开图像

ASP.NET表单字段不从彩色框发布