Как может я обходить X-Frame-Option: HTTP-заголовок SAMEORIGIN?

Я разрабатываю веб-страницу, которая должна отобразиться, в iframe, отчет, врученный сервером SharePoint другой компании. Они соглашаются с этим.

Страница, которую мы пытаемся представить в iframe, дает нам X-Frame-Options: SAMEORIGIN, который заставляет браузер (по крайней мере, IE8) отказываться представлять содержание в кадре.

Во-первых, это - что-то, чем они могут управлять или являются этим что-то, что SharePoint просто делает по умолчанию? Если я прошу, чтобы они выключили это, они могли бы даже сделать это?

Во-вторых, я могу сделать что-то, чтобы сказать браузеру игнорировать этот http заголовок и просто представлять кадр?

44
задан Daniel Coffman 6 May 2010 в 17:26
поделиться

1 ответ

Если вторая компания рада, что вы получаете доступ к их содержимому в IFrame, то им нужно снять это ограничение - они могут сделать это довольно легко в конфигурации IIS.

Вы ничего не можете сделать, чтобы обойти это, и все, что работает, должно быть быстро исправлено в исправлении безопасности. Вы не можете сказать браузеру, чтобы он просто отобразил фрейм, если в заголовке исходного содержимого сказано, что он не разрешен во фреймах. Это облегчит перехват сессии.

Если содержимое является только GET, и вы не отправляете данные обратно, то вы можете получить страницу на стороне сервера и проксировать содержимое без заголовка, но тогда любое сообщение обратно будет считаться недействительным.

29
ответ дан 26 November 2019 в 22:09
поделиться
Другие вопросы по тегам:

Похожие вопросы: