1. дома
  2. Вопрос и ответ
  3. Отказано от отображения, установите X-Frame-Options для SAMEORIGIN

Отказано от отображения, установите X-Frame-Options для SAMEORIGIN

2015-12-15 3 views
1

У меня очень старый сайт, созданный в ASP .Net 2008 командой, с которой у меня нет контакта. Внезапно страница не выглядит должным образом в Chrome и FireFox, но отлично работает с другими браузерами. Страница установлена ​​с помощью iFrame.Отказано от отображения, установите X-Frame-Options для SAMEORIGIN

Глядя под Осмотрите элемент (хром) для страницы неисправной для визуализации я вижу ошибку

Refused to display 'http://www.example.com/somepage.html' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, SAMEORIGIN'.

Так прочитал несколько статей, и я не могу понять это в полной мере, но мне кажется, ошибка есть, запрошенный домен НЕ позволяет себе отображаться в кадре.

URL-адрес, указанный выше, не является URL-адресом, с которым я знаком (т. Е. Третьим лицом, у меня нет никакого контроля). В любом случае, разрешить это или это просто владелец домена должен будет разрешить? ЕСЛИ так почему это работает в других браузерах?

источник

2015-12-15 Computer

ответ

1

Есть в любом случае, чтобы решить эту

Не на вашем конце.

или это просто владелец домена должен будет разрешить?

Это

Если так, почему это работает в других браузерах?

Спекуляция немного здесь, но SAMEORIGIN, SAMEORIGIN - недопустимое значение. Похоже, Chrome пытается восстановить ошибки и обрабатывает его как SAMEORIGIN

источник

2015-12-15 13:51:09 Quentin

+0

Если сайт для встраивания является нашим. то как это исправить. пожалуйста помоги. У меня есть полный контроль над веб-сайтом, который будет встроен. Как я могу избавиться от ошибки? – Unbreakable

0

Quentin answer подробно изложил его.

Кроме того, если это внешний сайт, находящийся вне вашего контроля, у них могут быть веские причины запретить кадрирование. (Подобно предупреждению click-jacking.)

Возможно, они также включили Content-Security-Policy:frame-ancestors 'self' header, который будет иметь такой же эффект.

(И в настоящее время, в Chromium (и хром) а bug вызывает X-Frame-Options взять верх над Content-Security-Policy, пока он не должен.)

Вы можете взломать, что, если их сайт обслуживается более http (не https) и вы управлять общим сетевым устройством, через которое должен идти весь ваш сетевой трафик пользователей на этот сайт. Я имею в виду, что на этом устройстве, если это позволит вам это сделать, вы можете отфильтровывать «нежелательные» заголовки от ответов этого сайта.

Конечно, это спорный взлом. В зависимости от условий использования сайта жертвы, это может быть даже юридическим вопросом.

источник

2015-12-15 15:46:27

+0

Если сайт для встраивания является нашим. то как это исправить. пожалуйста помоги. У меня есть полный контроль над веб-сайтом, который будет встроен. Как я могу избавиться от ошибки? – Unbreakable

+0

Если он принадлежит вам, настройте его для обеспечения того, чтобы он не выделял заголовки http-заголовков «X-Frame-Options» или «Content-Security-Policy: frame-ancestors». Или настройте эти заголовки, чтобы разрешить ваш другой сайт. И лучше спросите новый вопрос о stackoverflow, если это необходимо, комментарии не подходят для вопросов и ответов. –

Последний вопрос

 Смежные вопросы

  • Нет связанных вопросов^_^