web-dev-qa-db-fra.com

X-Frame-Options SAMEORIGIN bloquant l'iframe sur mon domaine

j'utilise http://www.jacklmoore.com/colorbox pour afficher le contenu d'une URL dans une lightbox . après la mise en œuvre, la colorbox n'a rien montré.

Plus tard, j'ai remarqué l'erreur suivante dans les journaux de chrome:

Refused to display document because display forbidden by X-Frame-Options.

donc, après avoir documenté, j’ai ajouté la ligne suivante à la racine .htaccess du site Web:

Header always append X-Frame-Options SAMEORIGIN

pour permettre l’intégration d’iframe sur mon propre domaine.

Mais je reçois toujours l'erreur, je suis débutant dans x-frame et je travaille sur une application existante. Je pensais donc que la solution .htaccess serait agréable, mais peut-elle être remplacée par du code? Notez que ce n'est pas dans la configuration du serveur.

8
SupFrig

Essayez d’envoyer un autre en-tête X-Frame-Options, ajoutez

<?php header('X-Frame-Options: GOFORIT'); ?>

en haut de votre page ..__ devrait désactiver la commande SAMEORIGIN.

14
bogatyrjov

Selon les pages de développement de moz. Voici la définition de la

SAMEORIGIN
La page ne peut être affichée que dans un cadre de même origine que le page elle-même.

Cela signifie que si vous incluez une page de votre site, elle sera affichée.
Laissons supposer 

  1. vous avez un site Web sur http://foo.com et vous souhaitez que quelque chose apparaisse dans iframe à partir de http://foo.com/sec_page
  2. mais si vous intégrez le même iframe ( http://foo.com/sec_page ) à charger dans http://bar.com , il n'affichera rien. Comme l'origine serait changé.

Vous pouvez lire le note complète ici

4
Hammad

Vous pouvez supprimer l'en-tête de la réponse que vous obtenez: 

header_remove ("X-Frame-Options");

2
user_stackoverflow

J'ai ajouté ceci dans httpd.conf:

 Header unset X-Frame-Options

Et il fonctionne.

1
user3467449

Définissez les options du cadre X sur DENY ou Sameorigin. Sinon, il peut être utile de créer des attaques de phishing ou des injections de Frame si votre site est vulnérable aux attaques XSS.