嵌入在iframe中的Docusign不'；t似乎不遵守跨站点脚本指令

就在几周前，在iframe中创建收件人视图似乎没有任何大的麻烦。但在今天的测试中，针对开发的演示网站，我发现url最终会在内部解析为被我的浏览器阻止的内容，因为“此内容无法在iframe中显示。发布者。”

虽然最初的返回URL似乎没有问题，但当系统解析为account-d.docusign.com时，结果是docusign正在设置X-Frame-Origins:SAMEORIGIN，这肯定会阻止任何iframe内容

然而，尽管docusign表示，由于尺寸问题和移动体验，它不建议使用iframe，但它并没有说iframe完全不允许用于web应用程序。在任何情况下，设置

viewRequest.XFrameOptions=“允许来自”； viewRequest.xframeOptions AllowFromURL=myHost

应该更改由创建的视图请求生成的url上的X-Frame-Origins头，是吗

---

有人知道我可能做错了什么吗？或者docusign最近发布的一个版本是否改变了行为，从而完全不允许使用iFrame？

使用iFrame进行嵌入式签名可以，但在任何情况下都不推荐使用。相反，最好将签名者的浏览器重定向到嵌入式签名仪式

使用iFrame确实有效，我刚刚检查了它

不起作用的是在iFrame（account.DocuSign.com和account-d.DocuSign.com）中使用DocuSign的身份服务器之一

由于您的错误涉及account-d.docusign.com，这意味着身份验证出现了问题

---

我认为你需要做更多的测试来找出发生了什么。检查您是否正在使用从create recipient view API调用返回的url。

是否正在使用身份验证代码授权进行身份验证，并在iframe中执行此操作？account-d.docusign.com是用于身份验证的URL，因此我对这一部分感到困惑。共享您的代码可能有助于它在本地与URL一起正常工作。所以我的问题是，Docusign在设置收件人视图时是否使用X-*标记。如果是这样的话，我们怎么看，这只是使用了标题中的X*标记，还是Docusign也在标题中创建了更新的内容安全功能。我仍然不清楚您在做什么，以及问题出在哪里。您可能想问另一个问题或进一步解释，代码会有所帮助。你提到的URL有些混乱，这向Larry和我表明，你不仅仅是在做嵌入式签名。我正在尝试让基本的嵌入式签名示例起作用。我不明白的是，我正在努力寻找的疯狂部分是，它返回的url不仅在另一个浏览器窗口中运行良好，而且在iframe中的一台完全不同的机器上运行良好。但是，在跟踪这些请求的.har时，在失败的机器上，似乎还有其他内容安全属性。这可能是内部问题。我们正在使用URL。它在一个不同的网络中进行了测试，一切正常。请大家阅读inbar上面的评论，因为这是一个非常好的验证问题检查表。