Refusé pour l'affichage, le jeu X-Frame-Options pour SAMEORIGIN
J'ai un très vieux site construit en ASP .Net 2008 par une équipe externe qui je n'ai aucun contact avec. Tout d'un coup une page ne semble pas s'afficher correctement sur Chrome et FireFox mais fonctionne très bien avec les autres navigateurs. La page est défini avec un iFrame.
Regardant sous Inspecter l'Élément (Chrome) de la page à défaut de rendre je vois l'erreur
Refused to display 'http://www.example.com/somepage.html' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, SAMEORIGIN'.
Afin de lire quelques articles et je ne peut pas comprendre cela pleinement, mais il me semble que l'erreur est, le domaine demandé ne pourra PAS se permettre d'être affiché à l'intérieur d'un cadre.
L'URL ci-dessus n'est pas l'URL, je suis familier avec (c'est à dire sa troisième partie, je n'ai pas tout contrôler avec elle). Est-il de toute façon à résoudre ce ou est-ce purement le propriétaire du nom de domaine devrait permettre? SI oui, pourquoi cela fonctionne dans d'autres navigateurs?
Vous devez vous connecter pour publier un commentaire.
Pas à votre fin.
Ce
De spéculer un peu ici, mais
SAMEORIGIN, SAMEORIGIN
n'est pas une valeur valide. Il ressemble à Chrome est la tentative de reprise sur erreur et de le traiter commeSAMEORIGIN
Quentin répondre les résumés, c'est bien.
En plus, si c'est un site externe au-delà de votre contrôle, ils peuvent avoir de bonnes raisons d'interdire le cadrage. (Comme la prévention des click-jacking.)
Ils peuvent aussi avoir inclus un
Content-Security-policy:cadre-ancêtres " moi "
de l'en-tête qui aurait le même effet.(Et actuellement, un bug en Chrome (et Chrome) provoque
X-Frame-Options
prendre le pas sur leContent-Security-Policy
alors qu'il ne devrait pas.)Vous pouvez pirater que si leur site est servi sur
http
(pashttps
) et vous avez le contrôle d'une commune périphérique réseau à travers lequel tous les utilisateurs de votre réseau de trafic vers ce site doit aller. Je veux dire, sur cet appareil, si elle ne vous permet pas de le faire, vous pouvez filtrer 'indésirables' en-têtes de réponses de ce site.Bien sûr, cela est discutable hack. Selon les conditions d'utilisations de la "victime" du site, il pourrait même être une question juridique de le faire.
X-Frame-Options
ouContent-Security-Policy:frame-ancestors
en-têtes http. Ou de régler ces en-têtes pour permettre à votre autre site. Et de mieux poser une nouvelle question sur stackoverflow, si nécessaire, les commentaires ne sont pas adaptés pour les Q&A.