問題タブ [x-frame-options]

FacebookアプリのFacebookiframe内の別のドメインにフォームを送信しようとしています。

私はこれに似たフォームを持っています：

また、直接URLにアクセスしてフォームを使用すると正しく送信されますが、iframeを介してFacebookアプリとして使用すると、このエラーが発生します。

この記事はすでに見ましたが、他のドメインにアクセスできません。

私が何をすべきか考えていますか？他のドメインに連絡してiframeを許可する必要がありますか？

Firefox (および Chrome) のクライアント側で X-Frame-Option ヘッダーを無効にしたいと考えています。私が見つけたもの： 「X-Frame-Optionsによって禁止されている表示」を克服 する非クライアント側のソリューションは私の目的には適していません

https://bugzilla.mozilla.org/show_bug.cgi?id=707893 これはかなり近いようです。コード user_pref("b2g.ignoreXFrameOptions", true); を使用して、プロファイル ディレクトリに user.js を作成しようとしました。しかし、うまくいきませんでした。最後から 2 番目のエントリは、変更されたコードで ff をコンパイルすることを暗示しているようです。これが事実である場合、それは私にとっても可能な解決策ではありません。

YouTube 動画のリストを iframe に連続してロードしてループする JS を使用して、小さな HTML ページを作成しました。YouTubeがプレイリストをサポートしていることは知っていますが、それらはひどいので、ビデオをダウンロードしたくありません。また、ブラウザーがローカル ファイルの X-Frame-Option のみを無視するとよいでしょう。これを無効にすることで、私が引き裂くセキュリティホールをいくらか最小限に抑えることができます。Chromeに関しては、解決策があればいいのですが、それほど重要ではありません.

別のアプローチとして、HTTP 応答を含む受信 TCP/IP パケットを傍受し、このヘッダー行を削除することも考えられますが、これはかなりやり過ぎです。

[編集] youtube.com/embed を使用することは、多くのビデオが埋め込みを許可していないため、悪い回避策です...

さまざまなクライアントに提供できるiframeスクリプトを用意して、クライアントがサイトに埋め込むことができるようにする必要があります。YoutubeやFacebookと同じように。

ただし、クロスドメインの制限によりレンダリングされません。

x-フレームオプション、crossDomainajax呼び出しに関するすべてのドキュメントを確認しました。

crossDomain ajax呼び出しの問題は、JSONPしか使用できないことです。

私はこれを試しました-YouTubeビデオにアクセスして、その埋め込みコードを取得してください。プレーンなiframeスクリプトです。たとえば <iframe width="420" height="315" src="http://www.youtube.com/embed/7N5OhNplEd4" frameborder="0" allowfullscreen></iframe> 、上記のスクリプトをhtmlに挿入するとレンダリングされますが、iframeのsrcをyoutube.com自体に編集すると、空白になります。

Facebookのiframeもどこでもスムーズにレンダリングされます。

私はこのことで地獄の拷問を受けています。これについて教えてください。前もって感謝します！

http://bar.example.comをターゲットとするiframeがhttp://foo.example.comにあります。

http://bar.example.comにはWordPressのインストールがあります。ページを表示し、すべてのページをクリックして投稿することはできますが、バックエンドに移動しようとすると、

リクエストは中止されます。

この質問によると、私は正常に送信されるこのヘッダーを追加しました：

ダッシュボード（およびログイン画面）のみへのアクセスを制限できる他に何がありますか？

私は両方のサブドメインにアクセスでき、htaccessも使用できます

jQuery $.getJSON を介して「ページ」をロードします (何らかの理由で、すべてのページが JSON としてコーディングされているため、関数が成功したときにデコードします)。これには、別のソースを指す iframe が含まれています。すべてのコードは .NET 4.0 からのものです。

Firefox でページを開くと、コンソールでLoad denied by X-Frame-Options. クロムでは、問題はありません。

この問題を解決するにはどうすればよいですか? どこが間違っていますか？

YouTubeの動画を直接埋め込む方法があることはわかっていますが、それは私がやりたいことではありません。サイトをiframeで表示する方法はありますか？またはインスタグラム？これは私がやろうとしていることにとって非常に重要です。

Facebook 用に作成されたページの最上位レベルにあるアンカーから、URL を開く必要があります。いくつかの調査を行ったところ、新しい X-Frame-Options 制限がこのアクションをブロックしており、これに対する可能な修正は、リクエスター レベルでのアクセスを許可することであることがわかりました。私のアプリケーション。

アプリケーションは IIS 6 を介してホストされているため、必要なカスタム ヘッダー X-Frame-Options ALLOW-FROM http://www.mywebsite.com/を簡単に追加できますが、クリックしようとすると拒否メッセージが表示されます。マイページにリンクします。

マーケティング資料が既に配布されているため、新しいバージョンの IIS にアップグレードできません。これを修正する別の方法はありますか、または X-Frame-Options を間違った場所に追加していますか?

また、両方のアンカーに target="_top" があります。

Google の doubleclick を使用して、IFrame の Floodlight タグでユーザー情報を追跡していますが、最近、Chrome 開発ツールで応答が原因でエラーが発生しています。

' http://123.fls.doubleclick.net/activityi;src=123;type=123;cat=123;ord=123 ' のロード中に無効な 'X-Frame-Options' ヘッダーが検出されました: 'ALLOWALL' は認識された指令。ヘッダーは無視されます。

この問題に関するブログ投稿は次のとおりです。http://ipsec.pl/node/1094

ALLOWALL が最近追加され、任意のサイトがコードを src として使用できるようになり (そのオプションをまったく含めないのと同様)、doubleclick が応答にこのオプションを含めているようです。IE、Firefox、および Chrome のうち、Chrome はエラーをスローする唯一のブラウザーです。これは、Google が自社のブラウザでは機能しない doubleclick のオプションを使用しているということですか? Google チームが Chrome でテストしていないことは想像に難くありません。

ヘッダーが無視されていて、ヘッダーが X-Frame-Options でサイト間の制限を含まないのと同じ効果がある場合、エラーは何にも影響しないように思えます。また、レスポンスでエラーが発生するので、元のリクエストで行われるトラッキングは問題ないはずですよね?

私は、新しいタブではなくインラインでリンクを表示できる Chrome 拡張機能であるIntabの作成者です。舞台裏ではあまり凝った処理は行われておらず、ユーザーがクリックした URL をロードするのは iframe だけです。

X-Frame-Options ヘッダーを DENY または SAMEORIGIN に設定するサイトを除いて、うまく機能します。Google や Facebook などの一部の非常に大きなサイトはどちらもそれを使用しているため、エクスペリエンスが少しぎこちなくなります。

これを回避する方法はありますか？私は Chrome 拡張機能を使用しているので、アクセスできるブラウザ レベルのものはありますか? アイデアやヘルプを探しています！