X-Frame-Options SAMEORIGIN chặn khung nội tuyến trên miền của tôi

Question

Tôi đang sử dụng http://www.jacklmoore.com/colorbox để hiển thị nội dung của url trong hộp đèn. sau khi triển khai, hộp màu không hiển thị bất kỳ thứ gì.

Sau đó, tôi nhận thấy các lỗi sau trong nhật ký chrome:

Refused to display document because display forbidden by X-Frame-Options. 

như vậy sau khi ghi tôi thêm vào dòng sau vào .htaccess thư mục gốc của website:

Header always append X-Frame-Options SAMEORIGIN 

để cho phép nhúng iframe trên tên miền của riêng tôi.

Nhưng tôi vẫn gặp lỗi, tôi là người mới đến khung hình x, và tôi đang làm việc trên một ứng dụng hiện có, vì vậy tôi nghĩ giải pháp .htaccess sẽ tốt đẹp, nhưng nó có thể bị ghi đè bởi một số mã không? Lưu ý rằng nó không có trong cấu hình máy chủ.

Answer 1

Hãy thử gửi một X-Frame-Options tiêu đề, thêm

<?php header('X-Frame-Options: GOFORIT'); ?> 

để phía trên cùng của trang của bạn. Cần tắt lệnh SAMEORIGIN.

Answer 2

Theo trang dev của máy phát. Dưới đây là định nghĩa của SAMEORIGIN

Các trang chỉ có thể được hiển thị trong một khung về nguồn gốc giống như trang riêng của mình.

Điều đó có nghĩa là chỉ khi bạn bao gồm một số trang từ trang web của mình sẽ được hiển thị.
Hãy giả sử

1. bạn có một trang web trên http://foo.com và bạn muốn một cái gì đó để hiển thị trong iframe từ http://foo.com/sec_page nó sẽ hiển thị trong iframe
2. nhưng nếu bạn nhúng iframe cùng (http://foo.com/sec_page) để tải trong http://bar.com sau đó nó sẽ không hiển thị bất cứ điều gì. Vì nguồn gốc sẽ được thay đổi.

Bạn có thể đọc full note here

Answer 3

Bạn có thể loại bỏ các tiêu đề từ các phản ứng bạn nhận được:

header_remove ("X-Frame-Options");

Answer 4

Đặt tùy chọn XFrame thành DENY hoặc Sameorigin. Khác nó có thể giúp trong việc xây dựng các cuộc tấn công lừa đảo hoặc khung tiêm nếu trang web của bạn dễ bị tấn công XSS.

Answer 5

Tôi đã thêm này trong httpd.conf:

Header unset X-Frame-Options 

Và nó hoạt động.