問題タブ [x-frame-options]

私の会社のログインは Google に関連付けられており、ユーザーがここ ( http://api.radiumcrm.com/sessions/new ) にアクセスすると、Google アカウント ピッカー ページが表示されます。

ユーザーが自分のアカウントを選択し、当社の Chrome 拡張機能を介して IFRAME からログインできるようにしようとしています。IFRAME でこの URL を試すと、このエラーが発生します -

Refused to display 'https://accounts.google.com/AccountChooser?service=lso&continue=https%3A%2F…57%26from_login%3D1%26hl%3Den%26as%3D-7f65cece530df7dd&btmpl=authsub&hl=en' in a frame because it set 'X-Frame-Options' to 'DENY'.

Google がおそらくセキュリティ上の理由でこれを行っていることは知っていますが、これに対する適切な回避策はありますか?

私たちのサイトは現在、クリックジャッキングから安全ではないため、web.configに移動して追加しました

これは非常に単純なコードです。私の問題は、それが機能していないということです。私が持っている質問は次のとおりです。

1. X-Frame-Optionsがヘッダー応答に含まれているかどうかを確認する方法はありますか? httpfox で探したところ、何も得られなかったので、web.config実際にヘッダーに何かを入れているかどうかを確認できません。
2. なぜこれが機能しないのですか？テストまたは前進するために何ができますか?

メソッドのGlobal.asaxに追加しようとしましたApplication_Startが、デバッグ時にこのメソッドを「ヒット」できないようです。ブレークポイントにはヒットしません。

ヘッドタグに直接追加しようとしたことと、メタタグにも追加しようとしたことを追加したいと思います

クリックジャッキングを制御するために Django XFrameOptionsMiddleware を使用していますが、ネットワーク内から iframe でアプリを参照できるようにする必要がある顧客がいます。ビュー メソッド内から xframe_options_exempt デコレータを適用 (または削除) できるようにしたいと考えています。

asp.net mvc2 と SQL Server 2012 を使用して開発されたアプリケーションの認証プロセスとして ADFS 2.0 を使用しています。この問題を解決するために、クリックジャッキング (別名クロスサイト フレーミングまたは XSF)、X-Frame- web.config ファイルで値が DENY のオプション。

再現手順: 1. Chrome ブラウザーを使用して、有効な資格情報を使用してアプリケーションにログインします。2. アプリケーションのランディング ページが表示されました。3. F12 をクリックして、開発者ツールのオプションを開きます。4. [サインアウト] オプションをクリックして、コンソール ウィンドウに移動します。5. システムに ADFS サインアウト ページが表示されますが、コンソール ウィンドウに次のようなエラーが表示されます。

「X-Frame-Options」が「DENY」に設定されているため、 「 https://mytestwebsite.com/?wa=wsignoutcleanup1.0 」をフレームに表示することを拒否しました。

ADFS Sogout ページの ViewSource を確認すると、次のように表示されました。

上記の問題を解決するための最良の方法を誰かに提案できますか?

3D セキュア ページとネット バンキング ページを IFrame に埋め込もうとしていますが、テストしたいくつかのサイトで成功することができました。しかし、すべての銀行ページが IFrame で開くかどうかは疑問です。

銀行が x-frame-otpions を SAMEORIGIN または DENY に設定した場合はどうなりますか?

これに関する技術仕様を検索しようとしましたが、何も見つかりませんでした。
認証銀行がこのヘッダーを使用すべき/使用すべきではないという一般的な経験則または慣習(仕様のいずれか)はありますか? これがすべての銀行で機能するかどうか、どうすれば信じられますか?
明確化は非常に役立ちます。

PS: 認証ゲートウェイを開く他の方法があることは知っています。それでも、このアプローチを明確にする必要があります。

dev.example.com で実行されている Express アプリには、次の行があります。

example.com:9000 で実行されている別の高速アプリでは、iframe にページ (インデックス) があります。

ただし、example.com/ にアクセスすると、次のエラーが表示されます。

私は試した：

それらのどれも機能しません。何か案が？

Angular アプリでいくつかの Iframe を表示する必要があります。

そのために、私のHTMLは

ただし、X-Frame-Options:SAMEORIGIN または DENY の場合、iframe で iUrl が許可されていない場合

それから私のIFrameは来ません、そして来ないのは当然です。

しかし、iframe が正しく読み込まれない場合に代替テキストを表示したい。同様に Image タグには alt 属性があります。

Iframe を読み込めないときに代替テキストを表示する方法が必要です。

ほとんどの場合、AngularJS とプレーンな JavaScript ソリューションが望まれます。

前もって感謝します。