最近需要在大屏网页中嵌套跳转一些网站地址,使用 iframe 页面嵌套时会提示X-Frame-Options问题,具体报错如下:
Refused to display 'xxxxxxxxx' in a frame because it set multiple 'X-Frame-Options' headers with conflicting values ('DENY'). Falling back to 'deny'.
X-Frame-Options 介绍
代码语言:javascript复制X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<embed> 或者 <object> 中展现的标记。
站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免点击劫持攻击。
X-Frame-Options 可以有几个参数:
- DENY 表示该页面不允许在 frame 中展示(拒绝任何 iframe 的嵌套请求),即便是在相同域名的页面中嵌套也不允许。
- SAMEORIGIN 表示该页面可以在相同域名页面的 iframe 中展示,例如网页为 abc.com/123.html,則 abc.com 底下的所有网页可以嵌入此网页,但是 abc.com 以外的网页不能嵌入。 设置后如果在不同域名页面通过 iframe 加载会报下面错误:Refused to display 'xxxxxxxxx' in a frame because it set multiple 'X-Frame-Options' headers with conflicting values ('DENY, SANEORIGIN'). Falling back to 'deny'.
- ALLOW-FROM uri 表示该页面可以在指定的 uri 页面中被 iiframe 加载。
- ALLOWALL 表示该页面允许全部来源域名的frame展示。 nginx配置示例:add_header X-Frame-Options ALLOWALL;
Nginx 配置
配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http’, ‘server’ 或者 ‘location’ 的配置中:
- 表示该页面可以在相同域名页面的 frame 中展示 add_header X-Frame-Options SAMEORIGIN;
- 表示该页面可以在指定来源的 frame 中展示 add_header X-Frame-Options "ALLOW-FROM domain.com";
- 表示该页面允许全部来源域名的 frame 展示 add_header X-Frame-Options ALLOWALL;
问题处理
Nginx 配置了 add_header X-Frame-Options SAMEORIGIN; 之后
发现报错变了,如下:
Refused to display 'xxxxxxxxx' in a frame because it set multiple 'X-Frame-Options' headers with conflicting values ('DENY, SANEORIGIN'). Falling back to 'deny'.
网上查了很多博客资料,还是没找到原因,
发现有些评论说可以先屏蔽再设置...
代码语言:javascript复制location /xxxxxx/ {
proxy_hide_header X-Frame-Options; //忽略返回头的X-Frame-Options
add_header X-Frame-Options SAMEORIGIN always; //设置X-Frame-Options
proxy_pass http://xxxxxxxx/xxxxxx/;
}
试了之后发现可以正常打开页面了,就是不知道有没有安全隐患,希望没事吧。这个问题后面持续跟进,先这样吧...
