Преодоление «Отображение запрещено X-Frame-Options»

Я пишу крошечную веб-страницу, цель которой состоит в том, чтобы создать несколько других страниц, просто объединяя их в одно окно браузера для удобства просмотра. На нескольких страницах, которые я пытаюсь создать, запрещается создание рамок, и выдается «Отказ от отображения документа, потому что отображение запрещено X-Frame-Options». ошибка в Chrome. Я понимаю, что это ограничение безопасности (по уважительной причине), и у меня нет доступа для его изменения.

Есть ли какой-нибудь альтернативный способ кадрирования или не кадрирования для отображения страниц в одном окне, которые не будут отключены заголовком X-Frame-Options?

У меня была похожая проблема, когда я пытался отобразить контент с нашего собственного сайта в iframe (как диалог в стиле лайтбокса с Colorbox ) и где у нас был общесерверный заголовок «X-Frame-Options SAMEORIGIN» на исходный сервер не позволяет загрузить его на наш тестовый сервер.

Кажется, это нигде не задокументировано, но если вы можете редактировать страницы, которые вы пытаетесь встроить (например, это ваши собственные страницы), просто отправка другого заголовка X-Frame-Options с любой строкой вообще отключает команды SAMEORIGIN или DENY.

например. для PHP, положить

<?php
    header('X-Frame-Options: GOFORIT'); 
?>

в верхней части вашей страницы браузеры объединят два, что приведет к заголовку

X-Frame-Options SAMEORIGIN, GOFORIT

... и позволяет загрузить страницу в фрейме. Похоже, это работает, когда начальная команда SAMEORIGIN была установлена ​​на уровне сервера, и вы хотите переопределить ее в постраничном случае.

Всего наилучшего!

Если вы получаете эту ошибку для видео YouTube, вместо использования полного URL-адреса используйте URL-адрес для встраивания из параметров общего доступа. Это будет выглядетьhttp://www.youtube.com/embed/eCfDxZxTBW4

Вы также можете заменить watch?v=с embed/таким http://www.youtube.com/watch?v=eCfDxZxTBW4становитсяhttp://www.youtube.com/embed/eCfDxZxTBW4

Если вы получаете эту ошибку при попытке встроить карту Google в iframe, вам необходимо добавить &output=embedссылку на источник.

UPDATE 2019: Вы можете шунтирование X-Frame-Optionsв <iframe>использовании только на стороне клиента JavaScript , и мой X-Frame-байпас Web Component. Вот демо: Хакер Новости вX-Frame-Bypass . (Проверено в Chrome и Firefox.)

Добавление

  target='_top'

чтобы моя ссылка во вкладке facebook исправила проблему для меня ...

Существует плагин для Chrome, который удаляет эту запись заголовка (только для личного использования):

https://chrome.google.com/webstore/detail/ignore-x-frame-headers/gleekbfjekiniecknbkamfmkohkpodhe/reviews

Если вы получаете эту ошибку при попытке встроить контент Vimeo, измените src iframe

с: https://vimeo.com/63534746
на: http://player.vimeo.com/video/63534746

У меня была такая же проблема, когда я пытался встроить Moodle 2 в iframe, решение Site administration ► Security ► HTTP securityи проверитьAllow frame embedding

Это решение, ребята!

FB.Event.subscribe('edge.create', function(response) {
    window.top.location.href = 'url';
});

Единственное, что сработало для приложений Facebook!

Похоже, что X-Frame-Options Allow-From https: // ... устарела и была заменена (и игнорируется), если вы используете Content-Security-Policy вместо этого заголовок .

Вот полная ссылка: https://content-security-policy.com/

Решение для загрузки внешнего веб-сайта в iFrame, даже если параметр x-frame отключен на внешнем веб-сайте.

Если вы хотите загрузить другой сайт в iFrame, и вы получите Display forbidden by X-Frame-Options” ошибку, вы можете фактически преодолеть это, создав прокси-скрипт на стороне сервера.

srcАтрибут плавающего фрейма может иметь URL вида:/proxy.php?url=https://www.example.com/page&key=somekey

Тогда proxy.php будет выглядеть примерно так:

if (isValidRequest()) {
   echo file_get_contents($_GET['url']);
}

function isValidRequest() {
    return $_SERVER['REQUEST_METHOD'] === 'GET' && isset($_GET['key']) && 
    $_GET['key'] === 'somekey';
}

Это обходит блок, потому что это всего лишь запрос GET, который также мог бы быть обычным посещением страницы браузера.

Имейте в виду: вы можете улучшить безопасность в этом скрипте. Потому что хакеры могут начать загрузку на веб-страницах через ваш прокси-скрипт.

Я перепробовал почти все предложения. Однако единственное, что действительно решило проблему, было:

1. Создайте .htaccessв той же папке, где лежит ваш файл PHP.

2. Добавьте эту строку в htaccess:

   Header always unset X-Frame-Options

Встраивание PHP с помощью iframe из другого домена должно работать позже.

Кроме того, вы можете добавить в начало вашего файла PHP:

header('X-Frame-Options: ALLOW');

Что, однако, не было необходимости в моем случае.

У меня была такая же проблема с MediaWiki, это было потому, что сервер запретил встраивание страницы в iframe по соображениям безопасности.

Я решил это писать

$wgEditPageFrameOptions = "SAMEORIGIN"; 

в файл конфигурации MediaWiki PHP.

Надеюсь, поможет.

FWIW:

У нас была ситуация, когда нам нужно было убить нашего, iFrameкогда появился этот код «взломщика». Итак, я использовал PHP, function get_headers($url);чтобы проверить удаленный URL, прежде чем показывать его в iFrame. Для повышения производительности я кэшировал результаты в файл, чтобы не устанавливать HTTP-соединение каждый раз.

Я использовал Tomcat 8.0.30, ни одно из предложений не сработало для меня. Поскольку мы собираемся обновить X-Frame-Optionsи установить его ALLOW, вот как я настроил разрешение на встраивание iframes:

• Перейдите в каталог Tomcat conf, отредактируйте файл web.xml
• Добавьте фильтр ниже:

<filter>
            <filter-name>httpHeaderSecurity</filter-name>
            <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
                   <init-param>
                           <param-name>hstsEnabled</param-name>
                           <param-value>true</param-value>
                   </init-param>
                   <init-param>
                           <param-name>antiClickJackingEnabled</param-name>
                           <param-value>true</param-value>
                   </init-param>
                   <init-param>
                           <param-name>antiClickJackingOption</param-name>
                           <param-value>ALLOW-FROM</param-value>
                   </init-param>
            <async-supported>true</async-supported>
       </filter>

       <filter-mapping>
                   <filter-name>httpHeaderSecurity</filter-name>
                   <url-pattern>/*</url-pattern>
                   <dispatcher>REQUEST</dispatcher>
       </filter-mapping> 

• Перезапустите сервис Tomcat
• Доступ к ресурсам с помощью iFrame.

Единственный вопрос, который имеет кучу ответов. Добро пожаловать в руководство, которое мне хотелось бы иметь, когда я боролся за это, чтобы заставить его работать в 10:30 ночи в последний день ... FB делает некоторые странные вещи с приложениями Canvas, и, ну, вы были предупреждены. Если вы все еще здесь и у вас есть приложение Rails, которое появится за Facebook Canvas, вам понадобится:

Gemfile:

gem "rack-facebook-signed-request", :git => 'git://github.com/cmer/rack-facebook-signed-request.git'

конфиг / facebook.yml

facebook:
  key: "123123123123"
  secret: "123123123123123123secret12312"

конфиг / application.rb

config.middleware.use Rack::Facebook::SignedRequest, app_id: "123123123123", secret: "123123123123123123secret12312", inject_facebook: false

конфиг / Инициализаторы / omniauth.rb

OmniAuth.config.logger = Rails.logger
SERVICES = YAML.load(File.open("#{::Rails.root}/config/oauth.yml").read)
Rails.application.config.middleware.use OmniAuth::Builder do
  provider :facebook, SERVICES['facebook']['key'], SERVICES['facebook']['secret'], iframe:   true
end

application_controller.rb

before_filter :add_xframe
def add_xframe
  headers['X-Frame-Options'] = 'GOFORIT'
end

Вам нужен контроллер для вызова из настроек холста Facebook, я использовал /canvas/и сделал маршрут основным SiteControllerдля этого приложения:

class SiteController < ApplicationController
  def index
    @user = User.new
  end
  def canvas
    redirect_to '/auth/failure' if request.params['error'] == 'access_denied'
    url = params['code'] ? "/auth/facebook?signed_request=#{params['signed_request']}&state=canvas" : "/login"
    redirect_to url
  end
  def login
  end
end

login.html.erb

<% content_for :javascript do %>
  var oauth_url = 'https://www.facebook.com/dialog/oauth/';
  oauth_url += '?client_id=471466299609256';
  oauth_url += '&redirect_uri=' + encodeURIComponent('https://apps.facebook.com/wellbeingtracker/');
  oauth_url += '&scope=email,status_update,publish_stream';
console.log(oauth_url);
  top.location.href = oauth_url;
<% end %>

источники

• Я думаю, что конфиг взят из примера omniauth.
• Файл gem (который является ключевым !!!) взят из: slideshare вещей, которые я узнал ...
• Этот вопрос стека имел весь угол Xframe, так что вы получите пустое место, если вы не поместите этот заголовок в контроллер приложения.
• И мой человек @rafmagana написал это руководство по герою , которое теперь вы можете принять за рельсы с этим ответом и за плечи великанов, с которыми вы ходите.

TARGET = "_ родителя

Используя идею Кевина Веллы, я попытался добавить этот атрибут к элементам формы, созданным генератором кнопок PayPal. У меня получилось так, что Paypal не открывается в новом окне / вкладке браузера.

Я не уверен, насколько это актуально, но я нашел обходной путь к этому. На моем сайте я хотел отобразить ссылку в модальном окне, содержащем iframe, который загружает URL.

То, что я сделал, я связал событие click ссылки с этой функцией javascript. Все это делает запрос к файлу PHP, который проверяет заголовки URL для X-FRAME-Options, прежде чем решить, загружать ли URL в модальном окне или перенаправлять.

Вот функция:

  function opentheater(link, title){
        $.get( "url_origin_helper.php?url="+encodeURIComponent(link), function( data ) {
  if(data == "ya"){
      $(".modal-title").html("<h3 style='color:480060;'>"+title+"&nbsp;&nbsp;&nbsp;<small>"+link+"</small></h3>");
        $("#linkcontent").attr("src", link);
        $("#myModal").modal("show");
  }
  else{
      window.location.href = link;
      //alert(data);
  }
});


        }

Вот код файла PHP, который проверяет это:

<?php
$url = rawurldecode($_REQUEST['url']);
$header = get_headers($url, 1);
if(array_key_exists("X-Frame-Options", $header)){
    echo "nein";
}
else{
    echo "ya";
}


?>

Надеюсь это поможет.

Я столкнулся с этой проблемой при запуске веб-сайта WordPress. Я пробовал все виды вещей, чтобы исправить это, и не был уверен, как, в конечном счете, проблема заключалась в том, что я использовал переадресацию DNS с маскированием, а ссылки на внешние сайты не обрабатывались должным образом. т. е. мой сайт был размещен по адресу http: //123.456.789/index.html, но был замаскирован для работы по адресу http://somewebSite.com/index.html . Когда я вошел http: //123.456.789/index.html в браузере, щелкнув по этим же ссылкам, я не обнаружил проблем с X-frame- в консоли JS, но запустил http://somewebSite.com/index.html.сделал. Чтобы правильно замаскировать, вы должны добавить DNS-серверы вашего хоста в службу вашего домена, т.е. у godaddy.com должны быть серверы имен, например, ns1.digitalocean.com, ns2.digitalocean.com, ns3.digitalocean.com, если вы были используя digitalocean.com в качестве хостинга.

Удивительно, что никто здесь никогда не упоминал Apacheнастройки сервера ( *.confфайлы) или .htaccessсам файл как причину этой ошибки. Выполните поиск по файлам .htaccessили Apacheфайлам конфигурации, убедившись, что для вас не установлено следующее значение DENY:

Header always set X-Frame-Options DENY

Изменяя его SAMEORIGIN, заставляет вещи работать как положено:

Header always set X-Frame-Options SAMEORIGIN

Единственный реальный ответ, если вы не контролируете заголовки вашего источника, который вы хотите в своем iframe, - это прокси. Пусть сервер выступит в роли клиента, получит источник, удалит проблемные заголовки, добавит CORS, если необходимо, и затем пингует ваш собственный сервер.

Есть еще один ответ, объясняющий, как написать такой прокси. Это не сложно, но я был уверен, что кто-то должен был сделать это раньше. По какой-то причине это было просто трудно найти.

Я наконец нашел некоторые источники:

https://github.com/Rob--W/cors-anywhere/#documentation

^ предпочтительнее. Если вам нужно редкое использование, я думаю, вы можете просто использовать его приложение heroku. В противном случае, это код для запуска самостоятельно на вашем собственном сервере. Обратите внимание, каковы пределы.

whateverorigin.org

^ Второй выбор, но довольно старый. предположительно более новый выбор в python: https://github.com/Eiledon/alloworigin

тогда есть третий выбор:

http://anyorigin.com/

Который, кажется, допускает небольшое бесплатное использование, но помещает вас в публичный список позора, если вы не платите и используете какую-то неуказанную сумму, с которой вы можете быть удалены, только если вы заплатите комиссию ...

Не упоминается, но может помочь в некоторых случаях:

var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function() {
    if (xhr.readyState !== 4) return;
    if (xhr.status === 200) {
        var doc = iframe.contentWindow.document;
        doc.open();
        doc.write(xhr.responseText);
        doc.close();
    }
}
xhr.open('GET', url, true);
xhr.send(null);

Используйте эту строку, приведенную ниже, вместо header()функции.

echo "<script>window.top.location = 'https://apps.facebook.com/yourappnamespace/';</script>";

у меня была эта проблема, и я решил ее, отредактировав httd.conf

<IfModule headers_module>
    <IfVersion >= 2.4.7 >
        Header always setifempty X-Frame-Options GOFORIT
    </IfVersion>
    <IfVersion < 2.4.7 >
        Header always merge X-Frame-Options GOFORIT
    </IfVersion>
</IfModule>

я поменял SAMEORIGIN на GOFORIT и перезапустил сервер

Попробуйте это, я не думаю, что кто-то предлагал это в теме, это решит как 70% вашей проблемы, для некоторых других страниц вам придется отказаться, у меня есть полное решение, но не для общественности,

ДОБАВИТЬ ниже в свой iframe

sandbox = "allow-same-origin-allow-scripts allow-popups allow-формы"

Отредактируйте .htaccess, если вы хотите удалить X-Frame-Options из всего каталога.

И добавьте строку: Заголовок всегда сбрасывает X-Frame-Options

[содержание из: Преодоление «Отображение запрещено X-Frame-Options»