問題タブ [x-frame-options]

現在開発中のFacebookアプリからTwitterフィードをユーザーに投稿したいのですが、困っているようです。tmhOAuth PHPスクリプトを呼び出して、Twitterで権限を要求することを認証すると、次のエラーが発生します。

TmhOAuthは、ブラウザから直接呼び出されたときに完全に機能します。Facebookiframe内で失敗するヘッダー関数。

何が起こっているのか考えていますか？

Facebook アプリを作成していますが、Javascript API を使用してユーザーのログイン ステータスを取得しようとすると、次のエラーが発生することがあります。

「X-Frame-Options によって表示が禁止されているため、ドキュメントの表示を拒否しました。」

ユーザーアカウントではなくFacebookをページとして使用している場合にのみ、アプリの「ログインステータスの確認」ページにアクセスするたびにこれを再現できました. これが問題の原因であることがわかったので、これを回避するのは簡単ですが、明らかに私のユーザーはこれを知らないかもしれません.

ユーザーが Facebook をページとして使用しているかどうかを判断する方法はありますか? それは私のアプリ全体をほとんど台無しにしているようです。

GoogleAppEngineでバックエンドを使用してアプリを構築しようとしています。Firefox 3.6、Firefox 6、IE 9では正常に動作しますが、Google Chrome 17.0.963.83mでは、「X-Frame-Optionsで表示が禁止されているため、ドキュメントの表示を拒否しました」で失敗します。同じエラーがスローされますが、Google Chrome（同じバージョン）の別のコンピューターでアプリを開こうとしましたが、アプリは正常に起動します。キャッシュなどをクリアしてみました。

開発ツールの私のヘッダーはこれが好きです-

x-frame-options：SAMEORIGINまたはDENYはありません。なぜ失敗するのか理解できません。解決策はありますか？

私は答えhttps://stackoverflow.com/a/6767901/1291712を試しました。おそらく、同じヘッダーオプションに2つの値を設定する必要があります。具体的には -

Webフレームワークとしてdjango-nonrelを使用しています。djangoの同じヘッダーに2つの値を設定する方法がわかりません。「GOFORIT」と「SAMEORIGIN、GOFORIT」に設定してみましたが、うまくいきませんでした。

他に何をデバッグして解決しようとできますか？助けてください。

iPhone の Safari で動作しない Facebook のコメントに問題があります。Facebook のコメントはほとんどのブラウザで問題なく機能しますが、iPhone の Safari では Javascript エラーが発生します。

問題を示す最小限のテストケースを作成しました: http://www.pvv.ntnu.no/~andrearo/fotball.html

iPhone の Safari で次のエラー メッセージが表示されます。

「X-Frame-Options によって表示が禁止されているため、ドキュメントの表示を拒否しました」。

この Facebook コメントを iPhone の Safari で動作させる方法について、誰かアドバイスをいただけませんか?

X-Frame-Optionsこの記事に従って、パートナー サイトが雇用主のサイトを iframe でラップできるようにするための「パススルー」を実装しています: http://blogs.msdn.com/b/ieinternals/archive/2010/03/30 /combating-clickjacking-with-x-frame-options.aspx

(投稿する URL を分割)

簡単に言えば、パートナーのページには、ドメインに対する URL を含む iframe があります。ドメイン内のどのページにも、 のような特別な url 引数が追加され&@mykey=topleveldomain.com、ページのトップ レベル ドメインが何であるかが示されます。

当社のフィルターは、提供されている場合はパートナー TLD を URL から取得し、ホワイトリストに対して検証します。リストにある場合は、X-Frame-Optionsヘッダーに値を付けて送信しますALLOW-FROM topleveldomain.com(そして、今後のクリックのために Cookie を追加します)。SAMEORIGINホワイトリストにない場合は、またはを発送しDENYます。

ALLOW-FROM domain問題は、最新の Firefox と Google Chrome では、結果の送信が全体的にノーオペレーションのように見えることです。IE8 は、少なくとも、正しく実装しているようALLOW-FROMです。

このページをチェックしてください: http://www.enhanceie.com/test/clickjack . 「コンテンツを表示する必要がある」5 つ目 (5 つのうち) のボックスの直後は、コンテンツを表示するべきではないボックスですが、実際に表示されているボックスです。この場合、iframe 内のページは、 とX-Frame-Options: ALLOW-FROM http://www.debugtheweb.comは明らかに異なる TLDを送信していますhttp://www.enhanceie.com。それでも、フレームにはコンテンツが表示されます。

関連する（デスクトップ）ブラウザ全体X-Frame-Optionsで本当に実装されているかどうかについての洞察はありますか? ALLOW-FROMおそらく構文が変更されましたか？

興味深いリンク:

• x-frame-options のドラフト rfc: https://datatracker.ietf.org/doc/html/draft-gondrom-frame-options-01
• developer.mozilla の記事では、ヘッダーを 2 オプション ヘッダー (sameorigin または deny) として説明しています。 https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
• すべてを開始した msdn ブログ: http://blogs.msdn.com/b/ie/archive/2009/01/27/ie8-security-part-vii-clickjacking-defenses.aspx
• 3 つの値について説明する msdn ブログ: allow-from origin の追加http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx

私のアプリケーションは iframe で動作します (chrome 拡張機能が挿入されています)。アプリケーションは、Google oauth2 を使用してユーザーにいくつかのアクセス許可を求める必要があります。X-Frame-Options: SAMEORIGIN at https://accounts.google.com/o/oauth2/authのため、oauth-page へのリダイレクトは iframe では直接機能しません。

ページをポップアップで表示する方法はありますか?

Railsアプリケーションを使用してabc.comのページを提供しています。その中で、アプリケーションコントローラーに応答ヘッダーを設定して（before_filterを介したすべての要求に対して）、次のコードを使用して、特定のサイト（xyz.com）からのみiframeを介してアクセスできるようにします。

問題は、xyzのabc.comからだけでなく、他のWebサイトからもページにアクセスできることです。xyz.comのみにアクセスを制限したい。Chromeコンソールで応答ヘッダーを調べると、X-Frame-Optionsが正しく渡されていることがわかります。これはすべてのブラウザで発生しています。私は何かが足りないのですか？

QtWebKit のセキュリティに関して問題があります。X-Frame-Options を無効にして、facebook.com などのサイトをアプリ内の iframe に埋め込むことができるようにします。

WebCore API (isWebSecurityEnabled スイッチ、 http://trac.webkit.org/wiki/ConfigurableFeatures )を使用して作成できることはわかっていますが、QtWebKit でそれを行う方法が見つかりませんでした。

ありがとうございました！

Microsoft Dynamics CRM Web アプリケーションの IFRAME に表示されるカスタム Web ページを Windows Azure がホストする Microsoft Dynamics CRM Online を使用しようとしています。

http://msdn.microsoft.com/en-us/library/gg509061 (Microsoft Dynamics CRM Online with a Windows Azure Hosted Webpage) を読み、http ://social.technet.microsoft.com/ の指示に従いました。 wiki/contents/articles/2590.aspx (Access Control Service v2.0 を使用した安全な Windows Azure Web ロール ASP.NET Web アプリケーション)

これで、ログインするための Windows Live ID 画面を表示する Windows Azure Web ページができました。

問題は、これを Dynamics の IFrame に配置すると、次のようになることです。

このコンテンツはフレーム内に表示できません この Web サイトに入力する情報のセキュリティを保護するために、このコンテンツの発行者はフレーム内に表示することを許可していません。

これは、Windows Live Id ログインによって提供される "X-Frame-Options:deny" の HTTP ヘッダーが原因で、Internet Explorer がフレーム内にページを表示できないためです。これは、既に Windows Live Id にログインしていて、Web ページが私を認証しようとしたときにも発生します。

最初の Microsoft ページは、「Microsoft Dynamics CRM Online with a Windows Azure Hosted Webpage」で実行でき、オプションで IFRAME に表示できることを示唆しているため、これはどのように機能するのでしょうか?

http://www.jacklmoore.com/colorboxを使用して、URL のコンテンツをライトボックスに表示しています。実装後、カラーボックスには何も表示されませんでした。

後で、chrome ログに次のエラーがあることに気付きました。

したがって、文書化した後、次の行を Web サイトのルート .htaccess に追加しました。

自分のドメインに iframe を埋め込むことができるようにします。

しかし、私はまだエラーが発生します。私はx-frameの初心者であり、既存のアプリケーションで作業しているので、.htaccessソリューションがいいと思いましたが、いくつかのコードで上書きできますか? サーバー構成には含まれていないことに注意してください。