有没有办法在 WSO2IS 响应中禁用 X-Frame-Options header ?我们需要使用 iframe 将一个应用程序集成到另一个应用程序中。这两个应用程序都使用 WSO2IS 进行身份验证,尽管 iframe 中的应用程序将重定向以使用 OpenID Connect 进行身份验证,但它应该立即返回,因为用户已通过父应用程序的身份验证。现在,我得到 X-Frame-Options: DENY header ,因为 WSO2IS 位于与应用程序不同的域中。有什么建议吗?
最佳答案
经过一番思考,既然还没有答案,我相信我可以回答我自己的问题。由于似乎每个 SSO 系统都将提供带有 DENY 值的 X-Frame-Options header ,唯一的解决方案是将 OpenID Connect 代码作为参数从父应用程序传递到 iframe 子应用程序。这样,不需要重定向步骤,因此嵌套/子/任何应用程序都可以请求 token 和用户信息。我不知道这是否是一个很好的方法,但它似乎是与 WSO2IS 或任何其他基于 OpenID Connect 的 SSO 系统一起工作的唯一方法。
关于从 iframe 访问 WSO2IS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41764120/