私iframeがこのようなものを作成した場合:
var dialog = $('<div id="' + dialogId + '" align="center"><iframe id="' + frameId + '" src="' + url + '" width="100%" frameborder="0" height="'+frameHeightForIe8+'" data-ssotoken="' + token + '"></iframe></div>').dialog({エラーを修正するにはどうすればよいですか?
'https://www.google.com.ua/?gws_rd=ssl'「X-Frame-Options」が「SAMEORIGIN」に設定されているため、フレームでの表示が拒否されました。
JavaScriptを使って?
回答:
あなたは設定できませんX-Frame-Optionsでiframe。これは、(google.com.ua例では)リソースを要求しているドメインによって設定された応答ヘッダーです。SAMEORIGINこの場合、ヘッダーをに設定していiframeます。これは、ドメインの外部でのリソースのロードを許可していないことを意味します。詳細については、MDN のX-Frame-Options応答ヘッダーを参照してください。
ヘッダー(ここではChrome開発者ツールに表示されています)を簡単に調べるとX-Frame-Options、ホストから返された値がわかります。
X-Frame-Options要求されたドメインがフレーム内に表示されることを許可するかどうかを示す要求への応答に含まれるヘッダーです。これはJavaScriptやHTMLとは関係がなく、リクエストの発信者が変更することはできません。
このウェブサイトでは、このヘッダーをに表示できないように設定していiframeます。クライアントがこの動作を止めるためにできることは何もありません。
iframeのコンテンツを送信するサーバーを制御している場合X-Frame-Optionsは、Webサーバーでの設定を行うことができます。
すべてのページのX-Frame-Optionsヘッダーを送信するには、これをサイトの構成に追加します。
Header always append X-Frame-Options SAMEORIGINX-Frame-Optionsヘッダーを送信するようにnginxを構成するには、http、サーバー、または場所の構成にこれを追加します。
add_header X-Frame-Options SAMEORIGIN;このヘッダーオプションはオプションであるため、オプションがまったく設定されていない場合は、次のインスタンス(訪問者のブラウザーやプロキシなど)にこれを構成するオプションを提供します
ソース:https : //developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
add_header Strict-Transport-Security "max-age=86400; includeSubdomains"; add_header X-Frame-Options DENY;nginx-snippetsから、そしてそれはすぐに機能しました。
そうでもない...私が使った
<system.webServer>
<httpProtocol allowKeepAlive="true" >
<customHeaders>
<add name="X-Frame-Options" value="*" />
</customHeaders>
</httpProtocol>
</system.webServer>何も役に立たないが、そのWebサイトをiframeに表示したい場合は、プロキシを利用するXフレームバイパスコンポーネントの使用を検討してください。
X-Frame-Options HTTP応答ヘッダーを使用して、ブラウザーで<frame>、<iframe>またはのページをレンダリングできるかどうかを示すことができます<object>。サイトはこれを使用して、コンテンツが他のサイトに埋め込まれないようにすることで、クリックジャッキング攻撃を回避できます。
詳細情報:https : //developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
この問題の代替ソリューションがあり、これをPHPを使用して実演します。
iframe.php:
<iframe src="target_url.php" width="925" height="2400" frameborder="0" ></iframe>target_url.php:
<?php
echo file_get_contents("http://www.example.com");
?>解決策は、ブラウザプラグインをインストールすることです。
X-Frame-Options値DENY(またはSAMEORIGIN別のサーバーオリジン)でHTTPヘッダーを発行するWebサイトは、IFRAMEに統合できません... X-Frame-Optionsヘッダーを無視するブラウザープラグインをインストールしてこの動作を変更しない限り(たとえば、ChromeのXフレームヘッダーを無視する))。
セキュリティ上の理由から、これはまったくお勧めできません。
あなたはこのようにiframeにロードしたいサイトのウェブ設定でx-frame-optionを設定できます
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="*" />
</customHeaders>
</httpProtocol>x-iframeは、サイトの所有者が提供する必要があり、サーバールール内にあるため、HTML本文に実際に追加することはできません。
あなたがおそらくできることは、ターゲットURLのコンテンツとそのphp URLのiframeをロードするPHPファイルを作成することです。これはスムーズに動作するはずです。
Tomcatインスタンスレベルの構成ファイル(web.xml)で行うことができます。web.xml構成ファイルに 'filter'とfilter-mappingを追加する必要があります。[X-frame-options = DENY]はグローバル設定であるため、すべてのページに追加されます。
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<async-supported>true</async-supported>
<init-param>
<param-name>antiClickJackingEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>DENY</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>xmlアプローチに従っている場合は、以下のコードが機能します。
<security:headers>
<security:frame-options />
<security:cache-control />
<security:content-type-options />
<security:xss-protection />
</security:headers>
<security:http>