解决iframe嵌套第三方网址不能访问

企业开发 2023-06-19 01:00:32 阅读次数: 0

第一种报错描述:
Refused to display 'http://www.shanghaixunjian.com.cn/' in a frame because it set 'X-Frame-Options' to 'sameorigin'.

关于X-Frame-Options:

X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站的 iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。

X-Frame-Options 协议有三种选项:

1.DENY:拒绝所有网站嵌入。
2.SAMEORIGIN:只允许同源网站嵌入。
3.ALLOW-FROM uri:允许指定的 URI 嵌入。
如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。这有助于防止网站遭受点击劫持等攻击,并提高网站的安全性。

在这里插入图片描述
第二中报错描述
Refused to frame 'https://www.baidu.com/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'
在这里插入图片描述
关于 CSP
CSP 是一种安全功能,通过指定允许哪些域将网站内容嵌入框架或 iframe 来帮助防止跨站点脚本 (XSS) 攻击。
白话:把你的地址给第三方,让第三方信任你的网址才能嵌套

这两个方式都能使用nginx代码解决

第一种报错解决

	 location / {
    
    
            proxy_hide_header X-Frame-Options;
            proxy_pass [你代理的网址];
        }

“proxy_hide_header”指令用于从代理服务器接收的响应中删除“X-Frame-Options”标头。

第二种报错解决

location / {
    
    
            proxy_hide_header Content-Security-Policy;
            proxy_hide_header X-Frame-Options;
            proxy_pass https://www.baidu.com;
        }

并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。

猜你喜欢

转载自blog.csdn.net/weixin_45906632/article/details/130622438
今日推荐
周排行
Java基础系列-Java11特性解读
前端面试查漏补缺--(十一) 前端软件架构模式MVC/MVP/MVVM
java Listener监听器
矩阵的迹
运用MVP实现二级联动
019基于JSP的学生考勤管理系统(MySQL版)
一道逻辑题 - 我拿走了哪个数
C# 通用单例窗体类
分布式之消息队列复习精讲【转】
Mac 使用.bash_profile
每日归档
更多
2024-07-11(0)
2024-07-10(0)
2024-07-09(0)
2024-07-08(0)
2024-07-07(0)
2024-07-06(0)
2024-07-05(0)
2024-07-04(0)
2024-07-03(0)
2024-07-02(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022