他社のSharePointサーバーから提供されたレポートをiframeで表示する必要のあるWebページを開発しています。彼らはこれで大丈夫です。
iframeでレンダリングしようとしているページは、X-Frame-Options:SAMEORIGINを提供します。これにより、ブラウザー(少なくともIE8)はフレーム内のコンテンツのレンダリングを拒否します。
まず、これは彼らが制御できるものですか、それともSharePointがデフォルトで実行するものですか?私が彼らにこれをオフにするように頼んだら、彼らはそれをすることさえできますか?
次に、このhttpヘッダーを無視して、フレームをレンダリングするようにブラウザーに指示することができますか?
更新:2019-12-30
このツールはもう機能していないようです!
[Request for update!]
更新2019-01-06:X-Frame- BypassWebコンポーネントを使用してバイパスできます。複数のCORSプロキシを使用してIFrame要素を拡張し、最新のFirefoxとChromeでテストされました。X-Frame-Options<iframe>
次のように使用できます。
(オプション) Safari用のExtendsポリフィルが組み込まれたカスタム要素を含める:
<script src="https://unpkg.com/@ungap/custom-elements-builtin"></script>
X-Frame-BypassJSモジュールを含めます。
<script type="module" src="x-frame-bypass.js"></script>
Xフレームバイパスカスタム要素を挿入します。
<iframe is="x-frame-bypass" src="https://example.org/"></iframe>
2番目の会社がIFrameでコンテンツにアクセスできることを喜んでいる場合は、制限を解除する必要があります。IIS構成でこれをかなり簡単に行うことができます。
それを回避するためにできることは何もありません。機能するものはすべて、セキュリティ修正プログラムですぐにパッチを適用する必要があります。ソースコンテンツヘッダーがフレームで許可されていないと表示されている場合、フレームをレンダリングするようにブラウザに指示することはできません。これにより、セッションハイジャックが容易になります。
コンテンツがGETのみの場合、データをポストバックしない場合は、ページサーバー側を取得し、ヘッダーなしでコンテンツをプロキシできますが、ポストバックは無効になります。
X-Frame-Optionsヘッダーは、ブラウザーレベルで適用されるセキュリティ機能です。
ユーザーベース(corpアプリのIT部門)を管理している場合は、greasemonkeyスクリプトのようなものを試すことができます(可能な場合は、a)すべての人にgreasemonkeyをデプロイし、b)共有方法でスクリプトをデプロイします)...
または、結果をプロキシすることもできます。サーバー上にエンドポイントを作成し、そのエンドポイントでターゲットエンドポイントへの接続を開いて、トラフィックを逆方向に集中させます。
はい、フィドラーは私にとってのオプションです。
CustomRules.jsます)。OnBeforeResponse次の行を追加します。
oSession.oResponse.headers.Remove("X-Frame-Options");
oSession.oResponse.headers.Add("Access-Control-Allow-Origin", "*");
2番目の質問については、Fiddlerフィルターを使用して、応答X-Frame-Optionsヘッダーを手動でのようなものに設定できますALLOW-FROM *。ただし、もちろん、このトリックはあなただけに有効です。他のユーザーはiframeコンテンツを表示できません(同じ操作を行わない場合)。