問題タブ [x-frame-options]

他社のSharePointサーバーから提供されたレポートをiframeで表示する必要のあるWebページを開発しています。彼らはこれで大丈夫です。

iframeでレンダリングしようとしているページは、X-Frame-Options：SAMEORIGINを提供します。これにより、ブラウザー（少なくともIE8）はフレーム内のコンテンツのレンダリングを拒否します。

まず、これは彼らが制御できるものですか、それともSharePointがデフォルトで実行するものですか？私が彼らにこれをオフにするように頼んだら、彼らはそれをすることさえできますか？

次に、このhttpヘッダーを無視して、フレームをレンダリングするようにブラウザーに指示することができますか？

クリックジャッキング攻撃を防ぐために、http ヘッダーに X-FRAME-OPTIONS を追加しようとしています。このように httpd.conf または .htaccess ファイルにヘッダーを設定すると、機能します。

しかし、自分の Web サイトで iFrame を使用している場所がいくつかあります。これを行うと、自分の Web サイトの iFrame もブロックされます。だから私は自分のウェブサイトに例外を追加しようとしています. リクエストが自分の Web サイトからのものかどうかを確認し、ページで iFrame を許可します。これを試しましたが、うまくいきませんでした。

誰かがこれで私を助けてくれますか?

以下に私の特定のケースについて説明しますが、これは多くのWebマッシュアップに役立つ可能性があります。

私のWebアプリケーションは、フォームに入力してから（javascriptを介して）送信することにより、TwitterにPOSTします。targetフォームのは、iframeトリガーのあるにonload設定されます。onloadトリガーが呼び出されると、アプリケーションはPOSTが完了したことを認識します。

これは、Chromeバージョン11までは正常に機能していX-Frame-Options=SAMEORIGINましたが、POST応答でTwitterから送信されたものを尊重するようになりました。POSTは実行されますが、iframe's onloadは呼び出されなくなります。

Firefox 4でも動作しますが、これは最終的に修正されるバグだと思います。

POSTのステータスを知る他の方法はありますか？POST応答の内容を知ることはセキュリティポリシーに違反することを理解していますが、内容には興味がありません。POSTが完了したときにアプリに通知してほしいのですが。

YouTube ビデオを含むオブジェクトのリストを表示する django テンプレートがあります。

obj.videourlField として保存されます。ページのクロムコンソールをロードすると、エラーが表示されますrefused to display document because display forbidden by x-frame-options。

. _ {{ obj.video }}_ ただし、 iframe のhttp://youtu.be/zzfQwXEqYaIようなものに置き換えると、ロードされます。www.google.com

私は小さな Web ページを作成しています。その目的は、他のいくつかのページをフレームに収めることであり、それらを 1 つのブラウザー ウィンドウに統合して見やすくすることです。フレーム化しようとしているページのいくつかは、フレーム化を禁止し、「X-Frame-Options によって表示が禁止されているため、ドキュメントの表示を拒否しました」をスローします。クロームでエラー。これは (正当な理由による) セキュリティ上の制限であり、変更する権限がないことを理解しています。

X-Frame-Options ヘッダーによってトリップされない単一のウィンドウ内にページを表示する代替のフレーミングまたは非フレーミング方法はありますか?

「X-Frame-Options によって表示が禁止されているため、ドキュメントの表示を拒否しました」というエラーのためにペイパルにリダイレクトされない支払いシステムを使用しています。フォームが投稿され、適切なリダイレクト URL が作成されますが、paypal クエリから応答が返されません。

これにより、次のクエリに適切にリダイレクトされます: https://www.sandbox.paypal.com/webscr&cmd=_express-checkout&token=xxx

これは応答がありません: https://www.sandbox.paypal.com/us/cgi-bin/webscr?cmd=_flow&SESSION=xxx&dispatch=xxx

最初のクエリを切り取ってブラウザーに貼り付けると、paypal にリダイレクトされますが、アプリケーション (Chrome) から実行すると、X-Frame-Options エラーが発生します。(または Firefox では、何もありません)

Sinatra を使用していくつかの IFRAME コンテンツを返していますが、クロスドメイン src を許可したいと考えています。残念ながら、Sinatra は自動的に X-Frame-Options ヘッダーを応答に追加しています。どうすればそれをオフにできますか?

X-Frame-Optionsヘッダーが原因でページがフレームに表示されないことを検出する良い方法はありますか？サーバーサイドでページをリクエストしてヘッダーを探すことができることは知っていますが、ブラウザにこのエラーをキャッチするメカニズムがあるかどうか知りたいと思いました。

この質問X-Frame-Options: denyで言及されているようにフレームバスターバスターを使用している場合、またはstackoverflow.comのようなさらに強力なものを使用している場合、Webページの読み込みを停止するにはどうすればよいですか? 外部 Web ページをロードする機能を持つ Web アプリケーションを作成しています。<iframe>javascript 経由ですが、ユーザーが誤って google.com や stackoverflow.com などのフレームバスターを無効にする機能を持つ Web サイトに足を踏み入れた場合は、読み込みを終了したいだけです。stackoverflow.com では、フレームを無効にして続行するよう求めるポップアップ メッセージが表示されますが、ページの読み込みを停止したいと思います。Google では、確認せずにフレームを削除します。クリックジャッキングのつもりはまったくなく、今のところこのアプリは一人で使っているだけです。そのような現場に足を踏み入れるたびにフレームが壊れてしまうのは不便です。これらのページをロードし続ける必要はありません。

編集

これまでの回答を見ると、ロードする前にこれを検出できないようです。次に、ページを別のタブにロードして、フレームバスターバスターがないかどうかを確認し、ない場合<iframe>は元のタブ内にロードすることはできますか?

編集 2

また、使用しているスクリプト言語 (Ruby) を使用して、ヘッダーまたは Web ページを html 文字列として取得することもできます。だから私は実際に情報にアクセスする前に情報にアクセスできると思います<iframe>.

一部のドキュメントを表示するために「google viewer」を使用しています。唯一の問題は、ブラウザに「リンボ」にある Google ログインがある場合、何も表示されず、「X-Frame-Options によって表示が禁止されているため、ドキュメントの表示を拒否されました」ということです。エラーが発生し、コンソールに表示されます。

「リンボ」とは、ログインはわかっているが、ユーザーが自分自身を再確認するためにパスワードを再入力する必要がある場合です。

このエラーがいつ発生したかを検出して、ポップアップ エラーを表示してユーザーに通知する方法はありますか?

前もって感謝します。