从Chrome 90开始,无法修改X-Frame-Options的响应头
。X-Frame-Options是一个HTTP响应头,用于控制网页是否可以在<frame>、<iframe>或<object>元素中展示。它的主要作用是防止点击劫持攻击,即将恶意网页嵌入到合法网页中,以获取用户的敏感信息。
在Chrome 90之前,可以通过设置X-Frame-Options响应头来控制网页的展示行为。常见的取值有:
- DENY:拒绝在任何<frame>、<iframe>或<object>中展示。
- SAMEORIGIN:只允许在同源网页的<frame>、<iframe>或<object>中展示。
- ALLOW-FROM uri:只允许在指定的URI中展示。
然而,从Chrome 90开始,Chrome不再支持修改X-Frame-Options响应头。取而代之的是使用Content-Security-Policy(CSP)的frame-ancestors指令来控制网页的展示行为。
CSP是一种安全策略,用于定义哪些资源可以加载到网页中。通过在HTTP响应头中设置Content-Security-Policy或者X-Content-Security-Policy头,可以指定允许加载的资源来源、脚本执行限制、插件限制等。
要解决Chrome 90无法修改X-Frame-Options的问题,可以使用CSP的frame-ancestors指令。在CSP头中设置frame-ancestors指令的值,可以控制网页在哪些上下文中可以被嵌入。
例如,可以设置frame-ancestors的值为'none',表示不允许在任何上下文中嵌入网页;设置为'self',表示只允许在同源网页中嵌入;设置为'example.com',表示只允许在指定的域名中嵌入。
推荐的腾讯云相关产品是Web应用防火墙(WAF)。WAF可以通过配置安全策略,包括CSP,来保护网站免受各种Web攻击,包括点击劫持攻击。您可以通过以下链接了解更多关于腾讯云WAF的信息:https://cloud.tencent.com/product/waf
相关·内容
我有一个Chrome扩展,它工作得很好,但最近(似乎是Chrome90)坏了。该扩展会将一些页面加载到IFRAMES中,并删除响应x-frame-options标头,以便即使是那些设置了防止IFRAMED的标头的站点也可以被IFRAMED。执行此操作的background.js代码如下所示。
然而,在Chrome90和更高版本中,这不再起作用,因为我在每个IFRAMES中都得到了一
浏览 42提问于2021-06-10得票数 0
1回答
为了我的生命,我不能让我的Chrome扩展显示一个带有远程URL的iframe。
拒绝帧'‘,因为它违反了以下内容安全策略指令:“子-src 'self'”。我在这里找到了一个解决方案(),它需要注入一个本地iframe,然后再注入另一个引用远程url的iframe。这应该是绕开声纳安全政策的。但出于某种原因,这在我的情况下似乎行不通。下面是我的扩展的一部分,与这个问题有关
浏览 3提问于2017-11-20得票数 10
我们编写了一个Chrome扩展,它使用onBeforeSendHeaders事件为每个web请求添加了一个cookie: } return {requestHeaders: details.requestHeaders};}
它在每个人的Chrome上都很好,除了我自己的。在调试扩展时,我注意到details.reque
浏览 1提问于2018-11-06得票数 3
我正在尝试运行微软的示例代码来实现Azure AD B2C身份验证。代码库可以在这里找到:下面是我运行代码时所发生的事情我看到了预期的index.html页面。
我点击登录按钮,被重定向到微软登录页面,在那里我可以看到通过Google进行社交登录<
浏览 0提问于2018-11-11得票数 2
回答已采纳
如果我创建一个 如下所示: var dialog = $('').dialog({ 如何修复错误: 拒绝展示 因为它将“X- frame -Options”设置为“SAMEORIGIN”。 和JavaScript?
浏览 180提问于2014-12-08得票数 206
回答已采纳
我正在开发一个web应用程序,其中我需要使用JavaScript访问iFrame的元素。为此,iFrame必须向浏览器发送"Allow-Control-Allow-Origin:*“标头。不幸的是,这并没有发生,这就是为什么我要使用一个扩展来修改响应头,但是由于某些原因,setResponseHeader不能工作。我正在使用Firefox的"Inspect Element“的Network选项卡来观察请求,虽然它显示了正确设置<em
浏览 3提问于2014-11-15得票数 1
我正在尝试删除X-Frame-Options SAMEORIGIN标头或将其设置为ALLOWALL。我已经在我的web.config中设置了它,并且在站点的IIS响应头中也设置了它,但是我仍然在我的浏览器中获得X-Frame-Options SAMEORIGIN,并且iframe内容不呈现。Cache-Control" value="public" />
<add name="Access-Contr
浏览 40提问于2019-06-04得票数 0
我有一个本地项目(只有文件,没有服务器),我正在尝试检测iframe何时加载失败,或者将默认的“它可能已被移动或删除”错误屏幕更改为我自己的错误屏幕。无法在iframe中加载的文件应该是丢失的,我正在尝试将iframes加载设置为“机密”,而不是chrome给我的“悲伤文档”。<iframe src=".我反复尝试使嵌入的文件postMessage()到父页面,但是我不知道哪一个
浏览 4提问于2021-02-01得票数 0
我有一个表单输入和一个iframe,我希望当用户输入一个url,它将能够显示它内的iframe,但我面临这个问题 Refused to display 'https://discord.com/' ina frame because it set 'X-Frame-Options' to 'deny'.我想实现的是有一个独立的webView,将像浏览器一样的行为,并将加载一个网址时,它是由用户插入。我认为iframe
浏览 29提问于2020-10-06得票数 0
回答已采纳
在中,我使用了以下代码: function (details) { X-Powered-By===ASP.NET Content-Length===29880为什么我无法
浏览 8提问于2017-04-29得票数 1
我试图在火狐中编写一个简单的扩展,其中我修改了X-Frame-Allow头。{ "name": "xframeoptions",
"version": "1.0"
浏览 12提问于2016-12-06得票数 15
回答已采纳
我希望用户能够将他们的网站URL输入到一个输入框中,该输入框是Chrome扩展的一部分,Chrome扩展将使用AJAX请求或类似的东西来检测和告诉用户,如果该URL背后的服务器支持通过HTTP2发送响应这个是可能的吗?
也许WebRequest有一种获取这些信息的方法?还是新的提取API?您的请求能否以某种方式告诉服务器,只有HTTP2答复是可以理解的?我看不出有什么明显的办法。我
浏览 5提问于2016-12-20得票数 16
回答已采纳
有没有办法创建一个Chrome扩展来欺骗加载在iFrame中的站点以为它不在一个框架中?
我们将客户端的站点加载到iFrame中进行演示,但是一些资源由于不允许在iframe中加载而被阻塞。
浏览 2提问于2017-10-30得票数 1
回答已采纳
似乎将X-Frame-Options设置为deny是最推荐的方法,可以防止我的网站被Iframed。但它并不完美。首先,X-Frame-选项可以通过使用Chrome扩展忽略,如下面的帖子所述。我已经通过使用Ignore X-Frame headers chrome扩展证明了这一点。其次,X-Frame-Options deny只在网页的第一个iframe上起作用,如果我对一个网页执行两次iframe,那么第二个iframe会起作用。我的问题是,什么是最
浏览 19提问于2018-03-03得票数 0
回答已采纳
2回答
我想在我的本地主机web服务器(wamp)中使用iframe。此iframe从远程web服务器加载表单。我可以访问远程web服务器,它使用apache2 (),我修改它的security.conf文件并加载模块'headers‘。我用这一行修改security.conf ( ip是本地计算机的ip ):但是,当我测试更改时,总是这样说:
拒绝在帧中显示“”,因为它将
浏览 3提问于2017-03-06得票数 3
2回答
我正在尝试从API中获取数据( API已经设置)。
我增加了CORS交换机和邮递员拦截器扩展。根本没有将x-api-键归类为标头,也找不到键本身:以下是Chrome控制台的错误:这是我的app.component.ts代码:
import
浏览 1提问于2018-12-13得票数 0
回答已采纳
我需要在我的Chrome扩展请求中设置Referer头。我使用的答案在后台脚本中实现了这一点 console.log(details.requestHeaders);};
浏览 0提问于2018-11-05得票数 2
回答已采纳
在描述这个问题之前,我将给出我允许xss曝光的背景。我依赖外部API。API返回的字段之一是html (已经编码)。我发现的问题是,它们的html并不总是有效的,如果显示为它,它就会破坏页面。所以现在我把它展示在一个iframe上,这样它就不会破坏任何东西。码<textarea id="my-data" class="hi
浏览 4提问于2016-01-11得票数 2
回答已采纳
默认情况下,我的站点启用了x帧选项: SAMEORIGIN标头。我想从一个特定的视图中删除它,这样就可以将该视图托管在第三方iFrame中。ActionResult Callback1() // Remove the anti-clickjacking setting{
// Try t
浏览 5提问于2015-12-24得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
