MVC 5 empêche l'accès au contenu via Iframe

Depuis la mise à niveau à partir de MVC4 à MVC5, j'ai remarqué un serveur supplémentaire en-tête ajouté à mes pages web:

X-Frame-Options: SAMEORIGIN

Je comprends les prestations de la sécurité de l'ajout de cette balise, mais l'une des pages est destiné à être inclus à l'intérieur d'un iframe à partir d'autres projets (sur d'autres domaines), cet en-tête supplémentaire est la prévention de ce.

J'ai vérifié ce n'est pas l'hébergement de serveur IIS7 c'est l'ajout de l'en-tête, et quand je rétrogradés à MVC4 - l'en-tête a disparu.

Personne ne sait comment faire pour supprimer ce défaut de MVC5?

  • Cette même question a seulement demandé, donc si vous n'obtenez pas de réponse ici, garder un oeil sur celui-là.
InformationsquelleAutor Leszek R. | 2013-11-27
  1. 93

    MVC5 ajoute automatiquement l'en-tête HTTP X-Frame-Options avec SAMEORIGIN. Cela empêche votre site d'être chargé en un iframe.

    Mais on peut le désactiver dans Application_Start dans le Global.asax.cs.

    Exemple

    protected void Application_Start()
{
    AntiForgeryConfig.SuppressXFrameOptionsHeader = true;
}

    Mise à jour

    J'ai écrit un post à ce sujet MVC5 empêche votre site web en cours de chargement dans un IFRAME

    • Que faire si je ne veux permettre à certaines pages à iframe chargé? Auparavant j'ai eu un attribut personnalisé AllowAnyOriginAttribute : ActionFilterAttribute. Puis-je modifier la configuration par demande, ou est Application_PreSendRequestHeaders encore préféré dans ce scénario (comme par stackoverflow.com/a/20254341/65611)?
    • Merci, cette aide @Html.AntiForgeryToken() est ce qui provoque l'en-tête pour être ajouté. Dans AntiForgeryWorker.cs: if (!this._config.SuppressXFrameOptionsHeader) httpContext.Response.AddHeader("X-Frame-Options", "SAMEORIGIN");
    • Vous pouvez simplement ajouter ceci à votre web.config <system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> ... </system.webServer>
    • Cette réponse nécessite le Système.Web.Les aides de l'espace de noms dans votre global.asax fichier.
    • Les en-Têtes Http problèmes: stackoverflow.com/questions/34270192/...
    InformationsquelleAutor Colin Bacon
  2. 4

    Essayer quelque chose comme cela dans Global.asax:

    protected void Application_PreSendRequestHeaders(object sender, EventArgs e)
 {
   HttpContext.Current.Response.Headers.Remove("X-Frame-Options");
 }

    EDIT:

    Regarder réponse de Colin Bacon. Il est plus correcte que la mienne.

    En bref - ne retirez pas cet en-tête si vous ne souhaitez pas exécuter votre site en IFRAME, car il va ouvrir la falsification de la vulnérabilité. Mais si vous voulez le retirer utiliser AntiForgeryConfig.SuppressXFrameOptionsHeader = true; dans Application_Start, c'est plus le moyen le plus propre pour cela.

    • Il se sent un peu comme un hack, juste avant d'envoyer la page, la balise est dépouillé, mais il fonctionne, donc je suis de l'acceptation de votre réponse. - Il serait bon de savoir pourquoi le tag est ajouté.
    • Nous pouvons supprimer cette app_start avec AntiForgeryConfig.SuppressXFrameOptionsHeader = true;
    • Nice. Easy fix pour un pas si bon code avec 300 balises de formulaire avec antiforgeries sur chacun d'eux.
    • N'est-ce pas la meilleure réponse si vous ne souhaitez autoriser certaines pages accessibles via une IFrame?
    InformationsquelleAutor Oleksii Aza
  3. 3

    Si vous voulez un peu plus de souplesse, voici un ActionAttribute qui ajoute/supprime les en-têtes basés sur une liste blanche. Si le référent n'est pas dans la liste blanche, puis la SAMEORIGIN en-tête est laissé en place. J'allais coller le code, mais se plaint de la longueur.

    https://long2know.com/2016/06/asp-net-anti-forgery-xframe-options/

    InformationsquelleAutor long2know
  4. 2

    Ici est un remplacement de la méthode d'Extension pour le HtmlHelper classe. Il sera le premier clair tous X-Frame-Options en-têtes, puis ajouter d'un seul X-Frame-Options en-tête ajouté par le haut- AntiForgeryToken méthode.

    Cette technique respecte les SuppressXFrameOptionsHeader, mais a l'inconvénient de retrait tous précédemment ajouté X-Frame-Options en-têtes, même ceux avec des valeurs autres que SAMEORIGIN.

    public static MvcHtmlString AntiForgeryTokenSingleHeader(this HtmlHelper html)
{
    string token = AntiForgery.GetHtml().ToString();
    HttpResponseBase httpResponse = html.ViewContext.HttpContext.Response;

    httpResponse.Headers.Remove("X-Frame-Options");
    if (!AntiForgeryConfig.SuppressXFrameOptionsHeader)
    {
        httpResponse.AddHeader("X-Frame-Options", "SAMEORIGIN");
    }
    return new MvcHtmlString(token);
}
    InformationsquelleAutor Zarepheth
  5. 1

    Personnellement, je ne pense pas que c'est une bonne idée de désactiver les X-Frame-Options à travers l'ensemble du site.J'ai créé un ASP.NET MVC filtre qui supprime cet en-tête et j'ai tout simplement appliquer ce filtre pour les parties du site qui sont utilisés dans des iFrames par exemple, les widgets.

    public class AllowDifferentOrigin : ActionFilterAttribute, IActionFilter
{
    public override void OnResultExecuted(ResultExecutedContext filterContext)
    {
        filterContext.HttpContext.Response.Headers.Remove("X-Frame-Options");
        base.OnResultExecuted(filterContext);
    }
}
    InformationsquelleAutor Denys Wessels