問題タブ [x-frame-options]

カスタム ドメイン名に問題があります。私のドメイン プロバイダーは、リダイレクト Web サイトを iframe 内に配置しました。

現在、azurewebsites ホスティングを使用しています。カスタム ドメインで Web サイトにアクセスすると、ホーム コントローラー以外のアクションを使用できません。

問題は、次のような x-frame-options ヘッダーにあります。

「X-Frame-Options」が「SAMEORIGIN」に設定されているため、フレームに「」を表示することを拒否しました。

そのような行動に対する解決策はありますか？または、ドメイン プロバイダーの問題ですか?

よろしくお願いします。

Django で、ユーザーが自分のサイトから動画を埋め込むことができるアプリケーションを作成しています。動画を埋め込むための iFrame コードをユーザーに提供しています。これは許可されていないことがわかりました。そうしようとすると、コンソールに次のエラーが表示されます。

X-Frame-Options によってロードが拒否されました: http://blah.com/embed/110/はクロスオリジン フレーミングを許可しません。

多くの調査の後、何が起こっているのかを発見しました。私の質問は、YouTube や Vimeo などのサービスがこれをどのように回避しているか知っている人はいますか?

わかりました、自分のサイトが空白として表示されるため、Facebook キャンバス アプリ内で機能するようにする方法を調査しようとしています。私はこのウェブサイトtutを見つけました。これは、なぜそれが機能していなかったのかについて少し光を当てるように見えました:こことここにgitがあります

自分のサイトからこれを呼び出す方法がわかりません。ドキュメントをサーバーにアップロードしましたが、どのように使用すればよいですか? 私はPHP、mySQL、html、jqueryなどを少ししかできません...私の知識はここまでではありません。

サーバー上で機能するために必要なコードは次のとおりです。

データベースからデータをロードするアプリがあります。テーブルにいくつかの URL を格納しています EX: https://facebook.com。これらの URL は動的であり、管理パネルで制御されることに注意してください。

次に、これらの URL のコンテンツを取得して、アプリ内の iFrame または div 内に表示する必要があります。ここでのアイデアは、ユーザーが私のアプリから離れてはならないということです。

https://facebook.comをロードしようとすると、(X-Frame-Options) が有効になっているため、ロードされません。

これに対する解決策はありますか？

Chrome 拡張機能で X-Frame-Options を操作するのは非常に簡単です。残念ながら、これは Chrome ウェブストアの URL では機能しません。https://chrome.google.com/webstore/category/appsを iframeに読み込もうとすると、まだ次のコンソール エラーが発生します。

「X-Frame-Options」が「sameorigin」に設定されているため、 「 https://chrome.google.com/webstore/category/apps 」をフレームに表示することを拒否しました。

そして、これは iframe タグ内に読み込まれるものです:<html><head></head><body></body></html>

これはたとえばhttp://www.google.comで機能するため、onHeadersReceived() で X-Frame-Options ヘッダーを正しく削除したと確信しています(X-Frame-Options ヘッダーを削除しないと機能しません) 。 .

これを修正する方法について何か考えはありますか?

外部 Web ページで css セレクターを見つけるためのツールを作成しています。これは、ターゲット サイトといくつかのコントロール要素を含む iframe を含むプレーンな html ページです。すべてのロジックも jquery を使用して JavaScript で記述されているため、現時点ではサーバー側はありません。

私が直面した問題は、Firefox 26.0 を使用してハンドラー/クラスを iframe ドキュメント要素に追加できないことです。サンプルコード:

コンソールに次のエラー メッセージが表示されます: Error: Permission denied to access property 'document'。確かにセキュリティ機能であることは理解していますが、どうにかして回避する必要があります。

私が試したこと：

• Google Chrome を使用すると、--disable-web-securityこのようなセキュリティ機能をオフにする特別なフラグ ( ) を使用してブラウザを実行できます。それは助けになり、私のツールは期待どおりに機能していますが、正確に Firefox を使用する必要があります。
• アドオンhttps://addons.mozilla.org/en-US/firefox/addon/forcecors/を使用します。まったく役に立ちませんでした。x-frames-origin header私もそのツールで追加しようとしましたが、結果はありませんでした。
• security.fileuri.strict_origin_policyFirefox 設定でフラグをオフにします。また、役に立ちませんでした。

多分私は何かを見逃していて、他の回避策/より良い解決策がありますか? どんな助けにも感謝します。

更新: ページと iframe は同じサイトにありません。私のツールは、ローカルの .html ファイル、iframe ソース - 任意のサイト (wikipedia、yahoo など) です。

X-Frame-Options SAMEORIGIN を削除する方法については多くの回答が見つかりましたが、追加する方法については正しい回答を見つけることができませんでした。

アプリは Heroku 上にあり、Rails 2.3.15 (nginx) で実行されています。Sinatra アプリではないと思います (config.ru がないという理由だけでこれを言います。友人が私のためにアプリを作成しましたが、彼は今助けられないので、私は肯定的ではありません。)

以下を /app/controllers/application_controller.rb に追加しようとしましたが、すべてのページが 503 を返すようになりました:

config.action_dispatch.default_headers = { 'X-Frame-Options' => 'SAMEORIGIN' }

それが失敗したとき、代わりに同じファイルでこの構文を試しました：

それは何も壊していないようですが、新しい http ヘッダーも追加されていません。

お分かりかもしれませんが、私はここで何を話しているのかほとんどわかりません。:-)

-=-=- 編集 -=-=-=-

アプリ自体から提供されるページの http ヘッダーを追加することについて、自分で考え出しました。

これを /app/controllers/application_controller.rb に追加しました:

before_filter :default_headers

/public/にあるアプリの外部にあるいくつかのページにそれを追加する方法がまだわからないので、その前にポインターを歓迎します。