Surmonter “Afficher interdit par X-Frame-Options”

Je suis en train d'écrire une petite page web dont le but est à l'image de quelques autres pages, il suffit de les regrouper dans une seule fenêtre de navigateur pour faciliter la visualisation. Quelques unes des pages que je suis en train de cadre interdire de les encadrer et de lancer une "a Refusé d'afficher le document parce que l'affichage interdit par X-Frame-Options." erreur dans le navigateur Chrome. Je comprends que c'est une sécurité de limitation (pour de bonnes raisons), et n'ont pas accès à la changer.

Est-il une alternative de cadrage ou de la non-définition de la méthode pour afficher les pages dans une seule fenêtre qui ne sera pas déclenché par le X-Frame-Options d'en-tête?

  • Si ce sont vos pages, puis retirez le cadre du limiteur. Autrement, le respect de la page de l'auteur souhaite et de NE PAS les encadrer.
  • Si vous obtenez cette erreur pour un Facebook Application et d'utiliser les appels AJAX, j'ai lu quelque part que Facebook aime vraiment à l'aide de # tags pour ajax contact, afin d'essayer de changer les liens, a travaillé pour moi.
  • Assurez-vous d'activer les cartes google maps intégrer des api en plus de lieux de l'API. Générer la carte à partir d'ici: developers.google.com/maps/documentation/embed/start
  • Assurez-vous également d'avoir 3rd party cookies sont activés dans votre navigateur. M'a fallu plusieurs heures pour le comprendre, et il a résolu mon problème.
  • Chrome et Firefox éthiquement cadre non-propriétaires de sites web en natif de l'INTERFACE utilisateur de chrome. Ces programmes permettent aussi détendue de même origine politiques à leurs propriétaires, FWIW. Comme garen-checkly dit, "je suis en train d'écrire une petite page web dont le but est à l'image de quelques autres pages, il suffit de les regrouper dans une seule fenêtre de navigateur pour faciliter la visualisation." C'est en fait une extension du navigateur web et serait tout à fait éthique. L'objectif n'est pas différent de l'écriture d'un script bash pour ouvrir et organiser les fenêtres de navigateur.
  • Vérifier Surfly. Il peut faire exactement ce que vous avez besoin.
  • Surfly a l'air sympa, mais pour 20 EUROS/mois... je pense que je vais ouvrir une autre fenêtre de navigateur. 😉
  • Quelle que soit possible la trik sur le côté serveur est considérer comme bug. Il est à noter que, pour Chrome (et tous basé sur webkit navigateurs) tôt ou tard, ils n'auront plus de soutien pour les XFrame-Options: Autoriser-à Partir de états à tous. Donc juste une question de temps, à Moins que vous en mesure de trouver un autre moyen comme Contenu de la Politique de Sécurité, je vous propose de changer la méthode d'affichage d'un contenu externe dans iframe à une solution acceptable.
  • Ce n'est pas utile. L'OP ne pourriez pas de soins sur la page de l'auteur le souhaite.
  • Une solution Acceptable? Quelle autre solution proposez-vous?
  • Les solutions de rechange autres que des cadre de contenu externe. Par exemple l'utilisation d'un proxy web, ou extraire le contenu et de le réécrire en un bloc dans les pages.

InformationsquelleAutor Garen Checkley | 2011-07-12
  1. 208

    J'ai eu un problème similaire, où j'essayais d'afficher le contenu à partir de notre propre site dans une iframe (comme une boîte de dialogue de type avec Colorbox), et où nous avons eu un serveur à l'échelle de "X-Frame-Options SAMEORIGIN" en-tête sur le serveur source, l'empêchant de chargement sur notre serveur de test.

    Cela ne semble pas être documenté n'importe où, mais si vous pouvez modifier les pages que vous essayez d'iframe (eg., ce sont vos propres pages), il suffit d'envoyer un autre X-Frame-Options d'en-tête avec une chaîne à tous les désactive le SAMEORIGIN ou de REFUSER des commandes.

    par exemple. pour PHP, mettre 

    <?php
    header('X-Frame-Options: GOFORIT'); 
?>

    en haut de votre page va faire les navigateurs combiner les deux, ce qui résulte en un en-tête de

    X-Frame-Options SAMEORIGIN, GOFORIT

    ...et permet de charger la page dans un iframe. Cela semble fonctionner, lors de la première SAMEORIGIN commande a été définie au niveau serveur, et que vous souhaitez le remplacer sur une page-par-page cas.

    Tout le meilleur!

    • J'ai eu un cadre autour d'un site web. Sur mon site, je suis rediriger vers Instagram pour OAUTH. Depuis Instagram envoie X-Frame-Options: SAMEORIGIN il n'y a aucun moyen de le faire à l'intérieur du cadre. Vous devez utiliser un popup.
    • Avec PHP, il est probablement préférable d'utiliser le nouveau header_remove de la fonction, à condition que vous l'avez à disposition (>=5.3.0).
    • cela ne semble pas fonctionner dans firefox, seulement en chrome\ie
    • Ou vous pouvez la modifier .htaccess si vous souhaitez supprimer X-Frame-Options à partir d'un répertoire entier. Il suffit d'ajouter la ligne: Header always unset X-Frame-Options
    • Je l'ai fait et ai une autre erreur: Invalid 'X-Frame-Options' en-tête rencontrés lors du chargement 'domain.com': 'GOFORIT' n'est pas reconnu directive. L'en-tête sera ignoré.
    • Eh bien oui, le point est qu'il est invalide. Il s'appuie sur les navigateurs ignorer l'en-tête non valide et "à défaut d'ouvrir", qui n'est pas spécifié comportement et assez mal famé de s'appuyer sur. GOFORIT (ou d'autres aléatoire arbitraire invalid token) est rompant délibérément avec une mesure de sécurité appliquées par un serveur; si vous avez le contrôle du serveur vous-même (ce que vous devriez faire pour tout réel de service public) puis la bonne chose à faire est de définir le serveur de ne pas définir l'en-tête dans la première place.
    • Cela ne semble pas fonctionner plus longtemps dans google Chrome. Des valeurs non valides cause la valeur par défaut pour REFUSER.
    • L'en-tête toujours unset X-Frame-Options ne fonctionne pas. Apache jette un 500.
    • developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
    • Supprimer la X-Frame-Options en-tête de la page référencé dans iframe src="...". Pour les Rails, voir stackoverflow.com/questions/18445782/...

    InformationsquelleAutor Sean
  2. 158

    Si vous obtenez cette erreur pour une vidéo de YouTube, plutôt que d'utiliser l'url complète d'utilisation de l'intégration url de la quote-part des options. Il ressemblera à http://www.youtube.com/embed/eCfDxZxTBW4

    Vous pouvez aussi remplacer watch?v= avec embed/ donc http://www.youtube.com/watch?v=eCfDxZxTBW4 devient http://www.youtube.com/embed/eCfDxZxTBW4

    • Oh progrès... je souhaite qu'ils suffit de rediriger nous de l'intégrer à la page au lieu de provoquer une erreur d'être jeté, et de me faire de réécrire mes scripts!
    InformationsquelleAutor Wil
  3. 122

    Si vous obtenez cette erreur, tout en essayant d'intégrer une Carte Google map dans un iframe, vous devez ajouter &output=embed pour le lien source.

    • C'est seulement vrai pour l'intégration de google maps dans une iframe, et pas une "solution".
    • J'ai besoin d'intégrer une carte google map dans une lightbox, donc, cette "solution" était parfait
    • Si vous essayez de le faire avec un Twitter web de l'intention, de l'oublier. Perdu toute la journée à essayer différents plugins lightbox seulement pour découvrir cette "Alors que vous pouvez fournir des liens vers d'intentions dans les IFRAMEs et les widgets, la résultante de ces pages ne peut pas être chargé dans un IFRAME." Source: site web Twitter.
    • Quel est le point de l'ensemble de la désactivation, en premier lieu, que pour l'autoriser avec une url différente? Je veux dire cliquez-jackers pourrait simplement joindre &output=embed pas?
    • Assumably, la vue change réputé intégrable.
    • Cela ne fonctionne pas si vous essayez de charger l'iframe src après le reste du chargement de la page, même si vous ajoutez &output=embed
    • Studio merci beaucoup, a fonctionné comme un charme pour moi lors du chargement d'une page Épurée en iframe.
    • Cela a fonctionné pour moi quand j'avais un problème de chargement de l'iframe src après que la page avait chargé
    • Cela ne fonctionne pas pour les liens de début mapsengine.google.com - par exemple, mapsengine.google.com/map/... . Une idée de comment faire ces travaux?
    • À compter de l'Été 2014 Youtube ne fait pas les choses de cette façon, plus, en faisant cette réponse incorrecte
    • qu'en est google calendar api ?

    InformationsquelleAutor Q Studio
  4. 56

    Mise à JOUR 2019: Vous peut de dérivation X-Frame-Options dans un <iframe> juste à l'aide de JavaScript côté client et mon X-Frame-Bypass Composant Web. Voici une démo: Hacker News dans un X-Frame-Bypass. (Testé dans Chrome & Firefox.)

    • C'est une intéressante solution de contournement. Fonctionne bien dans FF/Chrome/Opéra, mais ne fonctionne pas dans IE/avantage. Toute personne qui sait quelque chose, qui le fera?
    • Il ne fonctionne plus. Il donne "a Refusé d'affichage 'news.ycombinator.com " dans un cadre, car il set 'X-Frame-Options "pour " REFUSER"." que devrait
    • Il fonctionne pour moi dans Google Chrome 46, je peux voir Hacker News dans un iframe.
    • travaillé par intermittence pour moi et un peu de Chrome 48. Parfois, je me Refuse à afficher 'news.ycombinator.com " dans un cadre, car il set 'X-Frame-Options "pour " REFUSER".
    • Puis actualisez la page, il devrait fonctionner.
    • Ok pour Chrome 50 et FF 46.0.1. Rien pour IE malheureusement (ofc, la seule que j'ai besoin de travailler avec)
    • Ne fonctionne plus pour Chrome 63
    • Il y avait un problème avec un mélange de contenu, essayez de le mise à jour de violon.
    • que violon fonctionne après le rechargement de la page dans google Chrome 64, mais la première fois que je charge la page, ça ne fonctionne pas. (Essayez de navigation privée.)
    • Ce qui est étrange... comme @CarlWalsh, en chrome 64, échoue lors de la première charge (même erreur que @g.pickardou), mais j'ai ouvert une deuxième fois et il fonctionne maintenant... Pouvez-vous expliquer comment cela fonctionne?
    • Comment se fait-ce n'est pas fixe dans tous les principaux navigateurs encore? Pour moi, ça fonctionne avec Firefox 61 fois contre X-Frame-Options: sameorigin et X-Frame-Options: deny.
    • essayez d'appeler la fenêtre.reload() au chargement de la page, il se peut que?
    • Depuis YQL n'est plus disponible, j'ai mis à jour la réponse.
    • Merci, c'est génial!

    InformationsquelleAutor niutech
  5. 23

    L'ajout d'un 

      target='_top'

    à mon lien du facebook de l'onglet correction du problème pour moi...

    • J'ai eu le même problème avec Paypal iframe contenues dans un autre iframe. Il travaille maintenant! Merci
    • J'ai également ajouté target='_top', mais le problème avec cette solution est , le lien s'ouvre maintenant à l'extérieur de l'iframe dans un nouvel onglet sans facebook toile.
    • C'est une bonne solution à l'aide d'un panneau de formulaire en gwt
    InformationsquelleAutor Kevin Vella
  6. 22

    Il y a un plugin pour Chrome, que les gouttes que l'entrée d'en-tête (pour une utilisation personnelle uniquement):

    https://chrome.google.com/webstore/detail/ignore-x-frame-headers/gleekbfjekiniecknbkamfmkohkpodhe/reviews

    • Avez-vous une idée de comment fonctionne le module? 🙂
    • Il a probablement fait l'objet de quelques modifications dans la partie en-tête de la page web.
    • L'extension n'apporte aucun changement dans la page web, mais il semble ignorer la validation de l'image en-tête de réponse au niveau du navigateur
    InformationsquelleAutor
  7. 21

    Si vous obtenez cette erreur en essayant d'intégrer Vimeo contenu, modifier la src de l'iframe,

    à partir de: https://vimeo.com/63534746
    : http://player.vimeo.com/video/63534746

    • cela a résolu mon problème, merci. que faire avec les vidéos de youtube??
    InformationsquelleAutor Eric Corriel
  8. 13

    J'ai eu le même problème lorsque j'ai essayé d'incorporer moodle 2 en iframe, la solution est Site administration ► Security ► HTTP security et vérifier Allow frame embedding

    • bien fait pour le moodle méthode, étant donné que les autres méthodes échouent/écrasés.
    InformationsquelleAutor Mohammad Ali Akbari
  9. 7

    C'est la solution les gars!!

    FB.Event.subscribe('edge.create', function(response) {
    window.top.location.href = 'url';
});

    La seule chose qui a fonctionné pour facebook apps!

    InformationsquelleAutor Konst
  10. 6

    Solution pour le chargement d'un site web dans une iFrame même les plus difficiles de la x-frame option est définie à refuser sur le site web externe.

    Si vous souhaitez charger un autre site web dans une iFrame et vous obtenez le Display forbidden by X-Frame-Options” erreur alors vous pouvez résoudre ce problème en créant un serveur proxy côté de script.

    La src attribut de l'iFrame pourrait avoir une url comme ceci: /proxy.php?url=https://www.example.com/page&key=somekey

    Alors proxy.php ressemblerait à quelque chose comme:

    if (isValidRequest()) {
   echo file_get_contents($_GET['url']);
}

function isValidRequest() {
    return $_SERVER['REQUEST_METHOD'] === 'GET' && isset($_GET['key']) && 
    $_GET['key'] === 'somekey';
}

    Cela passe par le bloc, parce que c'est une demande qui pourrait aussi bien avoir été une simple page de navigateur de visite.

    Être conscient: Vous souhaiterez peut-être améliorer la sécurité dans ce script. Parce que les pirates pourrait commencer le chargement de pages web par l'intermédiaire de votre script de proxy.

    InformationsquelleAutor Floris
  11. 5

    J'ai essayé à peu près toutes les suggestions. Cependant, la seule chose qui a vraiment résolu la question était:

    1. Créer un .htaccess dans le même dossier que votre fichier PHP se trouve.

    2. Ajouter cette ligne dans le htaccess:

      Header always unset X-Frame-Options

    Intégrer le PHP par un iframe à partir d'un autre domaine de travail par la suite.

    En plus, vous pouvez ajouter au début de votre fichier PHP:

    header('X-Frame-Options: ALLOW');

    Qui n'est cependant pas nécessaire dans mon cas.

    • L'en-tête toujours unset X-Frame-Options dans le htaccess a fait le tour pour moi
    InformationsquelleAutor Kai Noack
  12. 5

    Il semble que X-Frame-Options Permettent-https://... est dépréciée et a été remplacé (et est ignorée) si vous utilisez Contenu de la Politique de Sécurité en-tête de la place.

    Voici la référence complète: https://content-security-policy.com/

    InformationsquelleAutor Dr. Aaron Dishno
  13. 4

    J'ai eu le même problème avec mediawiki, c'était parce que le serveur a refusé l'incorporation de la page dans un iframe pour des raisons de sécurité.

    Je l'ai résolu écrit 

    $wgEditPageFrameOptions = "SAMEORIGIN";

    dans le mediawiki php fichier de config.

    Espère que cela aide.

    InformationsquelleAutor John White
  14. 3

    FWIW:

    Nous avons eu une situation où nous avons besoin de tuer notre iFrame lorsque cette "disjoncteur", le code a montré jusqu'à. Donc, j'ai utilisé le PHP function get_headers($url); de vérifier l'URL distante avant de le présenter dans un iFrame. Pour de meilleures performances, j'ai mis en cache les résultats dans un fichier donc je n'étais pas de faire une connexion HTTP à chaque fois.

    InformationsquelleAutor Zane Claes
  15. 3

    J'ai été en utilisant Tomcat 8.0.30, aucun des suggestions a fonctionné pour moi. Comme nous sommes à la recherche pour mettre à jour le X-Frame-Options et mis à ALLOW, voici comment j'ai configuré pour permettre à intégrer des iframe:

    • Naviguer vers le répertoire conf de Tomcat, modifier la web.xml fichier
    • Ajouter le filtre ci-dessous: 
    <filter>
            <filter-name>httpHeaderSecurity</filter-name>
            <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
                   <init-param>
                           <param-name>hstsEnabled</param-name>
                           <param-value>true</param-value>
                   </init-param>
                   <init-param>
                           <param-name>antiClickJackingEnabled</param-name>
                           <param-value>true</param-value>
                   </init-param>
                   <init-param>
                           <param-name>antiClickJackingOption</param-name>
                           <param-value>ALLOW-FROM</param-value>
                   </init-param>
            <async-supported>true</async-supported>
       </filter>

       <filter-mapping>
                   <filter-name>httpHeaderSecurity</filter-name>
                   <url-pattern>/*</url-pattern>
                   <dispatcher>REQUEST</dispatcher>
       </filter-mapping>
    • Redémarrer le service Tomcat
    • Accéder aux ressources à l'aide d'un iFrame.
    InformationsquelleAutor Giri
  16. 2

    La seule question qui a un tas de réponses. Bienvenue sur le guide, je souhaite que j'avais quand j'étais brouillage pour cette pour le faire fonctionner à 10:30 dans la nuit à la date d'échéance de la journée... FB fait un peu bizarre de choses avec de la toile applications, et bien, vous avez été prévenu. Si vousune re toujours là et vous avez une application Rails qui apparaîtra derrière un Facebook Toile, alors vous aurez besoin de:

    Gemfile:

    gem "rack-facebook-signed-request", :git => 'git://github.com/cmer/rack-facebook-signed-request.git'

    config/facebook.yml

    facebook:
  key: "123123123123"
  secret: "123123123123123123secret12312"

    config/application.rb

    config.middleware.use Rack::Facebook::SignedRequest, app_id: "123123123123", secret: "123123123123123123secret12312", inject_facebook: false

    config/initializers/omniauth.rb

    OmniAuth.config.logger = Rails.logger
SERVICES = YAML.load(File.open("#{::Rails.root}/config/oauth.yml").read)
Rails.application.config.middleware.use OmniAuth::Builder do
  provider :facebook, SERVICES['facebook']['key'], SERVICES['facebook']['secret'], iframe:   true
end

    application_controller.rb

    before_filter :add_xframe
def add_xframe
  headers['X-Frame-Options'] = 'GOFORIT'
end

    Vous avez besoin d'un contrôleur à l'appel de Facebook la toile de paramètres, j'ai utilisé /canvas/ et fait le trajet aller les principaux SiteController pour cette application:

    
class SiteController < ApplicationController
  def index
    @user = User.new
  end
  def canvas
    redirect_to '/auth/failure' if request.params['error'] == 'access_denied'
    url = params['code'] ? "/auth/facebook?signed_request=#{params['signed_request']}&state=canvas" : "/login"
    redirect_to url
  end
  def login
  end
end

    de connexion.html.erb

    
<% content_for :javascript do %>
  var oauth_url = 'https://www.facebook.com/dialog/oauth/';
  oauth_url += '?client_id=471466299609256';
  oauth_url += '&redirect_uri=' + encodeURIComponent('https://apps.facebook.com/wellbeingtracker/');
  oauth_url += '&scope=email,status_update,publish_stream';
console.log(oauth_url);
  top.location.href = oauth_url;
<% end %>

    Sources

    • La config je pense que venait de omniauth l'exemple.
    • Le joyau de fichier (qui est la clé!!!) origine: slideshare choses que j'ai apprises...
    • Cette pile question a l'ensemble Xframe angle, de sorte que vous aurez un espace vide, si
      vous ne mettez pas cet en-tête dans le contrôleur app.
    • Et mon homme @rafmagana écrit ce heroku guide, qui maintenant, vous pouvez adopter pour les rails avec cette réponse et les épaules de géants dans laquelle vous marchez avec.
    InformationsquelleAutor pjammer
  17. 2

    target='_parent'

    À l'aide de Kevin Vella idée, j'ai essayé d'ajouter l'attribut correspondant à des éléments de formulaire par PayPal bouton du générateur. A travaillé pour moi afin que Paypal n'est pas ouvert dans une nouvelle fenêtre/onglet.

    • Malheureusement, cela ne semble pas fonctionner pour safari aussi.
    InformationsquelleAutor jiminikiz
  18. 1

    Je ne suis pas sûr de savoir comment il est pertinent, mais j'ai construit un travail autour de cela. Sur mon site, j'ai voulu afficher le lien dans une fenêtre modale qui contenait une iframe qui charge l'URL.

    Ce que j'ai fait est, je l'ai lié l'événement click sur le lien vers cette fonction javascript. Tout cela n'est de faire une requête vers un fichier PHP qui vérifie l'URL en-têtes X-FRAME-Options avant de décider de charger l'URL dans la fenêtre modale ou à rediriger.

    Voici la fonction:

      function opentheater(link, title){
        $.get( "url_origin_helper.php?url="+encodeURIComponent(link), function( data ) {
  if(data == "ya"){
      $(".modal-title").html("<h3 style='color:480060;'>"+title+"&nbsp;&nbsp;&nbsp;<small>"+link+"</small></h3>");
        $("#linkcontent").attr("src", link);
        $("#myModal").modal("show");
  }
  else{
      window.location.href = link;
      //alert(data);
  }
});


        }

    Voici le fichier PHP du code qui vérifie:

    <?php
$url = rawurldecode($_REQUEST['url']);
$header = get_headers($url, 1);
if(array_key_exists("X-Frame-Options", $header)){
    echo "nein";
}
else{
    echo "ya";
}


?>

    Espère que cette aide.

    InformationsquelleAutor swatkat7
  19. 1

    Je suis tombé sur ce problème lors de l'exécution d'un site wordpress. J'ai essayé toutes sortes de choses à réparer, et n'était pas sûr de savoir comment, en définitive, la question était parce que j'étais à l'aide de DNS redirection avec du ruban, et les liens vers des sites externes n'ont pas été traitées correctement. c'est à dire que mon site était hébergé à http://123.456.789/index.html mais a été masqué à exécuter à http://somewebSite.com/index.html. Quand je suis entré dans http://123.456.789/index.html dans le navigateur en cliquant sur ces mêmes liens a pas entraîné de X-frame-origines des problèmes dans le JS de la console, mais l'exécution http://somewebSite.com/index.html fait. Afin de bien le masque que vous devez ajouter à votre hôte DNS de serveurs de noms de votre domaine de service, c'est à dire godaddy.com devrait avoir des serveurs de noms exemple, ns1.digitalocean.com, ns2.digitalocean.com, ns3.digitalocean.com si vous avez été en utilisant digitalocean.com en tant que votre service d'hébergement.

    • J'ai fini par faire: remove_action( 'admin_init', 'send_frame_options_header',10); pour contourner ce problème...
    InformationsquelleAutor kinghenry14
  20. 1

    Il est surprenant que personne ici n'a jamais mentionné Apache paramètres du serveur (*.conf fichiers) ou .htaccess fichier lui-même comme étant une cause de cette erreur. Recherche par le biais de votre .htaccess ou Apache fichiers de configuration, assurez-vous de ne pas avoir le jeu suivant de DENY:

    Header always set X-Frame-Options DENY

    De la modifier à SAMEORIGIN, rend les choses fonctionnent comme prévu:

    Header always set X-Frame-Options SAMEORIGIN

    • il a été mentionné précédemment - voir le commentaire de @Jay sur la réponse stackoverflow.com/a/6767901/1875965
    • Je config .conf fichier d'en-Tête de toujours jeu X-Frame-Options SAMEORIGIN!
    • Mais comment est-ce pertinent pour la question ici, où l'en-tête vient de devise serveurs, directement à la client, OIE votre propre serveur n'est même pas impliqué? Ai-je raté quelque chose?
    InformationsquelleAutor Ilia Rostovtsev
  21. 1

    La seule vraie réponse, si vous n'avez pas de contrôle sur les en-têtes sur votre source que vous voulez dans votre iframe, c'est-à-proxy-il. Avoir un serveur d'agir en tant que client, de recevoir la source, la bande de la problématique des en-têtes, ajouter de la SCRO si nécessaire, puis la commande ping sur votre propre serveur.

    Il y a une autre réponse, en expliquant comment écrire une telle procuration. Il n'est pas difficile, mais j'étais sûr que quelqu'un a dû l'avoir fait avant. Il est juste difficile de trouver, pour une raison quelconque.

    Je l'ai enfin fait de trouver quelques sources:

    https://github.com/Rob--W/cors-anywhere/#documentation

    ^ privilégiées. Si vous avez besoin d'rares d'utilisation, je pense que vous pouvez juste utiliser son heroku app. Sinon, c'est le code à exécuter vous-même sur votre propre serveur. Remarque assurez-vous que les limites sont.

    whateverorigin.org

    ^ deuxième choix, mais assez vieux. soi-disant nouveaux choix en python: https://github.com/Eiledon/alloworigin

    puis il y a le troisième choix:

    http://anyorigin.com/

    Qui semble permettre un peu libre d'utilisation, mais vous mettra sur une public à la honte de la liste si vous ne payez pas et utilisent un certain montant non précisé, que vous ne peut être retiré que si vous payez les frais...

    InformationsquelleAutor Kyle Baker
  22. 0

    Ne sont pas mentionnés, mais peut aider dans certains cas:

    var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function() {
    if (xhr.readyState !== 4) return;
    if (xhr.status === 200) {
        var doc = iframe.contentWindow.document;
        doc.open();
        doc.write(xhr.responseText);
        doc.close();
    }
}
xhr.open('GET', url, true);
xhr.send(null);
    InformationsquelleAutor mattdlockyer
  23. 0

    Utiliser cette ligne étant donné ci-dessous au lieu de header() fonction. 

    echo "<script>window.top.location = 'https://apps.facebook.com/yourappnamespace/';</script>";
    InformationsquelleAutor Hemanta Nandi
  24. 0

    j'ai eu ce problème, et résolu d'édition qu'il httd.conf

    <IfModule headers_module>
    <IfVersion >= 2.4.7 >
        Header always setifempty X-Frame-Options GOFORIT
    </IfVersion>
    <IfVersion < 2.4.7 >
        Header always merge X-Frame-Options GOFORIT
    </IfVersion>
</IfModule>

    j'ai changé SAMEORIGIN à GOFORIT
    et redémarré le serveur

    InformationsquelleAutor Arthur
  25. 0

    Modifier .htaccess si vous souhaitez supprimer X-Frame-Options à partir d'un répertoire entier.

    Et ajouter la ligne: en-Tête de toujours unset X-Frame-Options

    [contenu de: Surmonter "Afficher interdit par X-Frame-Options"

    InformationsquelleAutor Nikhil Gyan
  26. -1

    Essayer cette chose, je ne pense pas que quelqu'un l'a suggéré dans le Sujet, cela permettra de résoudre 70% de votre question, pour certains, d'autres pages, vous avez de la ferraille, j'ai la solution complète, mais pas pour le public,

    Ci-dessous pour AJOUTER votre iframe

    sandbox="allow-même d'origine autoriser les scripts autoriser les popups de permettre à des formes"

    InformationsquelleAutor Zulqurnain abbas