X-Frame-Options 不适合我

Posted

技术标签:

【中文标题】X-Frame-Options 不适合我【英文标题】:X-Frame-Options are not working correct for me 【发布时间】:2018-11-24 05:43:18 【问题描述】:

我在 tomcat+java+servlets 上有后端(localhost:8080)。 js前端(localhost:8081)。

我尝试使用 iframe(在 iframe 中插入一些内容)(localhost:8081)

所以, 1)如果像这样添加过滤器

`response.addHeader("X-Frame-Options", "ALLOW FROM http://localhost:8080");`

- 工作正常,但它是安全的差距。

2) 如果这样使用

response.addHeader("X-Frame-Options", "ALLOW FROM http://localhost:8081"); 
response.setHeader("Access-Control-Allow-Headers", "x-requested-with");

-不适用于浏览器中的错误消息:

拒绝显示 'http://localhost:8081/app/jsf/payments.jsf?hide=true' 在一个框架中 因为它设置了多个具有冲突的“X-Frame-Options”标头 值('拒绝,允许来自http://localhost:8081')。回落到 '拒绝'。

【问题讨论】:

【参考方案1】:

需要使用 response.setHeader("Content-Security-Policy", "frame-ancestors http://localhost:8081");

X-Frame-Options 已弃用。

【讨论】:

嗯..我认为你错了。为什么你认为它已被弃用? (infosec.mozilla.org/guidelines/web_security#X-Frame-Options)

以上是关于X-Frame-Options 不适合我的主要内容,如果未能解决你的问题,请参考以下文章

X-Frame-Options 拒绝加载:不允许跨域框架

X-Frame-Options拒绝加载:domain.com/attachments/do-upload不允许框架

.htaccess,X-frame-options 不覆盖值,而是在网络选项卡中重复显示

nginx 中的 X-Frame-Options 允许所有域

识别 Rails 中对 iframe 不友好的站点——即使标题中缺少 x-frame-options

X-Frame-Options 标头不是可识别的指令