superset（master）iframe跨域集成时遇到难题？

Posted 2023-04-04

参考技术A

首先，认识一下 X-Frame-Options。
The X-Frame-Options HTTP 响应头是用来给浏览器 指示允许一个页面 可否在 <frame> , <iframe> , <embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面，从而避免 clickjacking 攻击。

X-Frame-Options 有三个可能的值：

在0.27中保持这个配置项为空即可，在master中远远不够。

这么修改后可能还会遇到在打开iframe时出现错误

这里的原因可能是——开启public角色的访问权限后，真正放到iframe中还需要解决跨域问题，而老版本中对http_headers配置项的修改不起作用，只能直接对explore_json去除csrf保护。
添加配置文件中的👇

再次访问有效，所以在master版本中，主要是依靠对特定接口取消保护来达到目的。

如果使用nginx进行部署的话，还需要配置 nginx 发送 X-Frame-Options 响应头，把下面这行添加到 \'http\', \'server\' 或者 \'location\' 的配置中:

注意：

JS跨域访问操作iframe里的dom

详细问题如下：页面a.html嵌套引用一个页面（比如是QQ微博的主页面），那在a.html页面怎么通过javascript或别的什么办法来获取iframe引用的QQ微博页面的Dom对象？比如，获取QQ微博页面的某一节点然后把它隐藏。

参考技术A 直接调用好像无法做到,不过你可以指Iframe的src进行参数传递,在iframe引用的页面当中进行查询即可操作进行相关操作.如果想操作父页面可通过Parent对象 参考技术B 嘿嘿，俺也想知道。。。可西没人解答。。。