我正在开发一个网页,需要在 iframe 中显示由另一家公司的 SharePoint 服务器提供的报表。他们对此很满意。
我们尝试在 iframe 中渲染的页面为我们提供了 X-Frame-Options: SAMEORIGIN ,这会导致浏览器(至少是 IE8)拒绝渲染框架中的内容。
首先,这是他们可以控制的事情还是 SharePoint 默认情况下所做的事情?如果我要求他们关掉这个功能,他们能做到吗?
第二,我可以做一些事情来告诉浏览器忽略这个http header 并只渲染框架吗?
最佳答案
如果第二家公司很高兴您在 IFrame 中访问他们的内容,那么他们需要取消限制 - 他们可以在 IIS 配置中相当轻松地做到这一点。
您无法采取任何措施来规避它,并且任何有效的措施都应该在安全修补程序中快速修复。如果源内容 header 表示框架中不允许,则您无法告诉浏览器仅渲染框架。这将使 session 劫持变得更容易。
如果内容只是 GET,那么您不回发数据,那么您可以获取页面服务器端并代理没有 header 的内容,但任何回发都应该无效。
关于asp.net - 如何绕过X-Frame-Options : SAMEORIGIN HTTP Header?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57624856/