Tôi muốn có một tập tin html được nạp như iframe bởi bất kỳ url, nó được lưu trữ bởi Github ..cách đặt X-Frame-Options trong một nội dung được lưu trữ bởi github?
This solution không hoạt động:
<?php
header('X-Frame-Options: GOFORIT');
?>
Và tôi giả sử rằng chúng ta không thể áp dụng this one (mod_headers), vậy có cách nào để làm điều đó không?
Hỗ trợ trả lời:
Chúng tôi chặn iframe để ngăn chặn các cuộc tấn công clickjacking chống lại người dùng của chúng tôi. Chúng tôi thực hiện việc này bằng cách gửi tiêu đề "X-Frame-Options: deny" cho mỗi trang. Clickjacking là một vector tấn công hợp pháp và tại thời điểm này chúng tôi không có kế hoạch xóa tiêu đề "X-Frame-Options: deny" hoặc cho phép ngoại lệ đối với các thuộc tính không thuộc sở hữu của GitHub. Thật không may là các biện pháp như vậy là cần thiết, nhưng chúng tôi có trách nhiệm thực hiện tất cả các bước thực tế để bảo vệ người dùng của mình.
Như jeum đã giải thích, không có súc sắc với khung nội tuyến, nó sẽ không hoạt động. Nếu bạn có thể ghi đè lên các chỉ thị với một thẻ meta, nó có thể làm việc, but you can't:
Lưu ý rằng dấu hiệu này phải được gửi dưới dạng một Header HTTP, và chỉ thị sẽ bị bỏ qua nếu được tìm thấy trong một thẻ HTTP-equiv META .
Vì vậy, nó không hoạt động với iframe. Nhưng nó thực sự phải là một khung nội tuyến? Bởi vì tải một kịch bản sẽ vẫn làm việc, vì vậy bạn có thể làm một cái gì đó như thế này:
Đoạn mã trên trang web của bạn (chúng ta hãy gọi nó load_content.js):
var node = document.createElement('div')
node.innerHTML = '{place your code encoded as a JS string here}'
document.appendChild(node)
Và sau đó sử dụng nó từ các trang web khác như thế này:
<script src="{URL to load_content.js}"></script>
Tất nhiên, điều này có một số tác động bảo mật cho các trang web mà bạn sử dụng nó, nhưng nó có thể đủ cho nhu cầu của bạn.
OTOH, tại sao bạn không chỉ lưu trữ nội dung đó ở nơi khác? Một máy chủ ảo nhỏ không chính xác chi phí rất nhiều (trừ khi bạn muốn tấn RAM và không gian đĩa cứng) (tôi trả có thể 6 € mỗi tháng hoặc lâu hơn), và thậm chí nếu bạn không có khả năng trả bất kỳ tiền, có các trang web cho phép bạn lưu trữ một vài trang html miễn phí, tôi nghĩ vậy.