問題タブ [x-frame-options]

別のドメインで次のような単純なページを使用して、クリックジャッキングの軽減をテストしています。

私のログインページは、次のヘッダーを送信します。

IE 10 と Chrome 33 の両方がリダイレクトに従い、ランディング ページを .xml 内に表示することに驚いています<iframe>。私のランディング ページは を送信しませんが、ログイン ページの最初のページがリダイレクトに勝るX-Frame-Optionsと予想していました。X-Frame-Optionsログイン ページがフレーム内に表示されているときに、ブラウザーがリダイレクトをたどらないようにするにはどうすればよいですか?

<iframe>ログインページがHTTPリダイレクトを送信しない場合、期待どおりに機能する（空/ブロックされる）ことを追加する必要があります。

更新: これは IE では機能しますが、Chrome ではまだこのエラーがスローされます。 私が所有する別のサイトで、私が所有するサイトを i-frame しようとしています。Chrome の JS コンソールに表示されるエラー メッセージは次のとおりです。

これをどこにも設定していないすべての場所で SAMEORIGIN を検索しました。

メイン サイトは www.mysite.com で、もう一方のサイトは subdomain.mysite.com です。明らかに、同じ起源のポリシーにより、私はこれを行うことができません。そのため、subdomain.mysite.com の X-Frame-Options ヘッダーを「AllowAll」に設定しました。begin-request メソッドで、これを追加しました:

ページレベルでこれを追加しました：

Javascriptで私はこれを追加しました:

試してみたいものがなくなってきました... よろしくお願いします。

Azure によって Web ロールとしてホストされる Web アプリケーションがあります。アプリケーションは QA と Production の 2 つのサブドメインにインストールされています。QA 環境では X-Frame-Options が拒否に設定されていますが、本番環境では設定されていません。

現在、同じコードが各環境にデプロイされているため、構成オプションである必要があります。XFO ヘッダーが設定されている Web アプリのどこにも見つかりません。他にどこで構成を設定できますか?

このコードを使用して表示http://www.solstas.com/find-a-location/していますiframe

そして、jqueryを使用したこのコード：

しかし、何も表示されません。他のウェブサイトを試してみましたが、うまくいきました。X-Frame-Options がそのサイトに設定されていることが原因である可能性があると言う人もいます。

助けてください。

このように、他のドメインを許可するように"Error: Permission denied to access property 'document'"既に定義している間に、エラーが継続的に発生します..X-FRAME options

以下はiframeリクエストのヘッダーです。ドメインがiframeにアクセスできるように定義したが、機能していないことを明確に示しています。私が望むのは、JavaScriptを使用してiframeのサイズを変更することだけです。

iframe の高さを変更するための JavaScript コードを次に示します。

これどうやってするの？提案してください。

2 つの iframe がある UI シナリオがあります。1 つの iframe に別の iframe があり、どちらも同じドメイン (DOMAIN_1 など) のコンテンツを表示します。ホストされている外側の iframe は、他のドメイン (DOMAIN_2 など) の Web ページです。

要約すると、私は持っています

ホストしている DOMAIN_2 のウェブページ

ホストしている DOMAIN_1 の iframe (アウター)

DOMAIN_1 の iframe (内部)。

質問: Outer Iframe に X-Frame-Option ヘッダーを設定していませんが、DOMAIN_2 Web ページから期待どおりに機能します。内部 iframe の X-Frame-Option ヘッダーにはどのような値を設定すればよいですか? 内側の iframe と外側の iframe が同じドメインであるため、SAMEORIGIN に設定しようとしましたが、これは機能しませんでした。これは期待されていますか？

アプリケーションで X-Frame-Options ヘッダーの領域固有の動作を作成しようとしています。

次の構造を持つ単一の MVC 5 プロジェクトがあります。

• MVC 構造の「ルート」にある複数の WebApiController
• 2 つの「エリア」 - 1 つはメイン サイト (「アプリ」と呼ばれる) 用で、もう 1 つはブックマークレット (「ブックマークレット」と呼ばれる) 用です。

「アプリ」は私のアプリケーションのメインエリアです。「ブックマークレット」を使用すると、ユーザーがブックマークレットをクリックするたびに (ユーザーがどのサイトにいるかに関係なく)、ページが iFrame に表示されます。

API と「アプリ」領域を X-Frame-Options ヘッダーで保護したいのですが、ブックマークレットにこのヘッダーを含めてはなりません。その目的は、任意の Web サイトの iframe 内に表示することだからです (ユーザーはブックマークレットをクリックします)。 、iframe を開き、現在のページのタイトルと URL を保存するフォームを事前入力します。お気に入りのリンクをアプリケーションに保存する「お気に入りに追加」機能と考えてください)。

現在、Global.asax 内で以下を使用しています。

残念ながら、これにより、すべての領域で X-Frame-Options ヘッダーが抑制されます。この動作をアプリケーションのルートや他の領域ではなく、ブックマークレット領域に特に適用する方法はありますか?

X-Frame-Options を開くことに関連するクリックジャッキングのセキュリティ リスクを認識していることに注意してください。サイトの「アプリ」領域内にログイン機能を配置することで、このリスクを軽減しようとしています (X-Frame-Options で保護したい)。したがって、「ブックマークレット」機能 (ユーザーがアクセスしている任意のサイトから開くことができるため、X-Frame-Options で保護することはできません) には、限られたデータ入力のみが含まれます。

自分の Web サイトで x-frame-options を無効にしたいのですが、他の Web サイトが iframe を使用している Web ページに私の Web ページを表示できないようにしたいと考えています。私の Web サイトは ASP.net MVC3 で作成され、IIS 7.5 でホストされています。