1. casa
  2. Domanda e risposta
  3. X-Frame-Options SAMEORIGIN blocco iframe sul mio dominio

X-Frame-Options SAMEORIGIN blocco iframe sul mio dominio

2012-08-29 22 views
7

sto usando http://www.jacklmoore.com/colorbox per visualizzare il contenuto di un url in un lightbox. dopo l'implementazione, la casella dei colori non ha mostrato nulla.X-Frame-Options SAMEORIGIN blocco iframe sul mio dominio

Più tardi, ho notato il seguente errore nel log di bicromato di potassio:

Refused to display document because display forbidden by X-Frame-Options.

così dopo aver documentato ho aggiunto la seguente riga alla .htaccess radice del sito:

Header always append X-Frame-Options SAMEORIGIN

per consentire iframe incorporamento sul mio dominio

Ma ottengo ancora l'errore, sono novizio di x-frame e sto lavorando su un'applicazione esistente, quindi ho pensato che la soluzione .htaccess sarebbe stata carina, ma può essere ignorata da qualche codice? Si noti che non è nella configurazione del server.

fonte

2012-08-29 SupFrig

risposta

13

provare a inviare un'altra intestazione X-Frame-Options, aggiungere

<?php header('X-Frame-Options: GOFORIT'); ?>

alla parte superiore della pagina. Dovrebbe disabilitare il comando SAMEORIGIN.

fonte

2012-08-30 07:58:54 bogatyrjov

+0

l'ho provato senza successo, poi ho rinunciato e reso il mio popin in linea>. SupFrig

+1

Dopo aver provato un sacco di altre "correzioni" per rendere Wordpress in un iFrame, questo FINALMENTE era quello che ha funzionato per me! – Evildonald

+0

Ciao, ci provo ma non ho successo, mi dici dove devo metterlo nel mio sito wordpress? Grazie –

4

Secondo le pagine di moz dev. Ecco la definizione della

SAMEORIGIN
La pagina è solo visibile in una cornice sul stessa origine come pagina stessa.

Significa che solo se si include una pagina dal proprio sito verrebbe visualizzata.
lasciare supporre

  1. si dispone di un sito web su http://foo.com e si desidera qualcosa da mostrare in iframe dal http://foo.com/sec_page sarebbe mostrare in iframe
  2. ma se si incorpora lo stesso iframe (http://foo.com/sec_page) per caricare in http://bar.com quindi non mostrerebbe nulla. Come l'origine sarebbe cambiata.

Potete leggere l'full note here

fonte

2012-12-27 10:38:09

1

è possibile rimuovere l'intestazione dalla risposta che si ottiene:

header_remove ("X-Frame-Options");

fonte

2013-09-27 16:51:19

0

Imposta le opzioni XFrame su DENY o Sameorigin. Altrimenti potrebbe aiutare a creare attacchi di phishing o Iniezioni di frame se il tuo sito è vulnerabile agli attacchi XSS.

fonte

2014-02-04 12:43:34

0

Ho aggiunto questo httpd.conf:

Header unset X-Frame-Options

e funziona.

fonte

2016-12-27 07:37:21 user3467449

Problemi correlati

 Problemi correlati