Iis 什么是在全球范围内添加一个；x帧选项：拒绝“；头球？_Iis_Coldfusion_X Frame Options

Iis 什么是在全球范围内添加一个；x帧选项：拒绝“；头球？

iis coldfusion

Iis 什么是在全球范围内添加一个；x帧选项：拒绝“；头球？,iis,coldfusion,x-frame-options,Iis,Coldfusion,X Frame Options,我有一个客户在Win 2k3 R2上使用ColdFusion 10和IIS 7.5。ColdFusion管理员使用框架。当我登录CF管理员时，我在Chrome和IE中看到一个空白的白色屏幕，我看到一条消息告诉我：此内容不能显示在框架中为帮助保护您输入此网站的信息的安全，此内容的发布者不允许将其显示在框架中我在chrome开发控制台中看到了一些这样的消息（每帧1条）：拒绝在帧中显示“”，因为它将“X-frame-Options”设置为“DENY” 查看Chrome中的响应头，我可以看到它被

我有一个客户在Win 2k3 R2上使用ColdFusion 10和IIS 7.5。ColdFusion管理员使用框架。当我登录CF管理员时，我在Chrome和IE中看到一个空白的白色屏幕，我看到一条消息告诉我：

此内容不能显示在框架中

为帮助保护您输入此网站的信息的安全，此内容的发布者不允许将其显示在框架中

我在chrome开发控制台中看到了一些这样的消息（每帧1条）：

拒绝在帧中显示“”，因为它将“X-frame-Options”设置为“DENY”

查看Chrome中的响应头，我可以看到它被设置为DENY

我不知道这是从哪里来的。此服务器上的所有站点现在都在输出此标头。我从未明确配置任何输出此头的内容。我知道CF不会在补丁中这样做，因为它会破坏自己的管理界面

IIS的根服务器范围配置HTTP响应头未设置X-Frame选项，任何已配置的网站也未设置X-Frame选项

如果我显式添加一个X-Frame-Options头并将其设置为sameorigin，我将看到这两个头（deny和sameorigin）

客户端的安全团队是否安装了一些软件，这些软件可能会注入此头

我正在访问localhost上的站点，因此我无法想象是网络设备导致了问题。它必须在服务器上，对吗

有什么想法吗？

这可以在ColdFusion中设置，假设它已被锁定。拜访（instancename）/wwwroot/WEB-INF/WEB.xml，了解有关clickjack的规则。可能看起来像这样：

<filter-mapping>
    <filter-name>CFClickJackFilterDeny</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>


氯氟烃过滤器
/*

测试这是否是由IIS引起的另一种方法是使用直接的HTML页面设置一个框架示例，如果它有效，则块处于ColdFusion级别。如果纯HTML不起作用，那么它发生在IIS或其他服务器位置

在IIS中，HTTP响应头可以设置为服务器范围（影响所有站点）和/或站点范围（仅影响当前站点）

再读一遍你的问题，我知道我可能帮不了你。祝你好运。

你和CFCLICK Jack Filterdeny相处得很好。看起来好像有人盲目地遵循锁定指南，并将过滤器全局设置为拒绝。将其切换到sameorigin解决了问题。这是一个令人印象深刻的答案。