Fatal编程技术网
  • iis/
  • 在iis上启用cors-x-frame拒绝加载选项:不允许跨原点帧

在iis上启用cors-x-frame拒绝加载选项:不允许跨原点帧

iis iframe cors

在iis上启用cors-x-frame拒绝加载选项:不允许跨原点帧,iis,iframe,cors,x-frame-options,Iis,Iframe,Cors,X Frame Options,关于这个问题有几个问题,但我还没有得到正确的答案。我做一个简短的总结: A公司有一个带有iframe的网站。公司B给出了该iframe的URL。用户使用来自公司B的应用程序,并使用用户选择的设置设置它设置一个URL,该URL从公司A传递到iframe 但是,由于x-frame-options,框架尚未工作。错误消息如下所示: <system.webServer> <httpProtocol> <customHeaders> <add name

关于这个问题有几个问题,但我还没有得到正确的答案。我做一个简短的总结:

A公司有一个带有iframe的网站。公司B给出了该iframe的URL。用户使用来自公司B的应用程序,并使用用户选择的设置设置它设置一个URL,该URL从公司A传递到iframe

但是,由于x-frame-options,框架尚未工作。错误消息如下所示:

<system.webServer>
<httpProtocol>
  <customHeaders>
    <add name="Content-Security-Policy" value="frame-ancestors 'self' example.com *.example.net ;" />
    <add name="X-Content-Security-Policy" value="frame-ancestors 'self' example.com *.example.net ;" />
  </customHeaders>
</httpProtocol>
X-Frame-Options拒绝加载: 不允许交叉原点框架

我补充说

<httpProtocol>
    <customHeaders>
        <add name="Access-Control-Allow-Origin" value="*" />
    </customHeaders>
</httpProtocol>


和网站,以在我的IIS上添加CORS支持。正如我上面提到的,没有任何成功。我在web开发或IIS方面不是很在行,所以也许这个问题听起来很愚蠢:A公司必须启用CORS还是B公司?或者两者都有?怎么做?我从谷歌那里得到的建议还没有起到作用


感谢您的建议。
该错误消息与
访问控制允许来源
标题或
选项
处理无关,因此问题中描述的更改预计不会产生任何影响


相反,原因是
http://www.myurl.com:8088
服务器正在发送一个
X-Frame-Options
响应头,以响应对
/myPath
的请求。因此,如果您不希望服务器这样做,您需要找出服务器代码的哪一部分导致添加
X-Frame-Options
响应头,并删除该代码。
该错误消息与
访问控制允许源站
头或
选项
处理无关,因此,预计问题中描述的变化不会产生任何影响


相反,原因是
http://www.myurl.com:8088
服务器正在发送一个
X-Frame-Options
响应头,以响应对
/myPath
的请求。因此,如果您不希望服务器这样做,您需要找出服务器代码的哪一部分导致添加
X-Frame-Options
响应头,然后删除该代码。
X-Frame-Options已被内容安全策略替换,您可以按以下方式使用它:


<system.webServer>
<httpProtocol>
  <customHeaders>
    <add name="Content-Security-Policy" value="frame-ancestors 'self' example.com *.example.net ;" />
    <add name="X-Content-Security-Policy" value="frame-ancestors 'self' example.com *.example.net ;" />
  </customHeaders>
</httpProtocol>







x-frame-options已被内容安全策略取代,您可以按如下方式使用它:


<system.webServer>
<httpProtocol>
  <customHeaders>
    <add name="Content-Security-Policy" value="frame-ancestors 'self' example.com *.example.net ;" />
    <add name="X-Content-Security-Policy" value="frame-ancestors 'self' example.com *.example.net ;" />
  </customHeaders>
</httpProtocol>







如果我理解正确,B公司必须这么做,对吗?有什么方法可以很容易地解决这个问题吗?谁控制运行在
http://www.myurl.com:8088
需要删除添加的
X-Frame-Options
响应头,以便在另一个源运行的任何代码都能够对该内容进行帧处理。如果您无法控制服务器在
http://www.myurl.com:8088
那么,您无法采取任何措施来允许您的网站对该内容进行框架设置。
X-Frame-Options
的全部目的是阻止第三方网站在内容所有者不愿意的情况下构建内容。如果第三方网站有办法绕过它,那就无法达到目的了好吧,那么我会寻找X-Frame-Options部分并将其删除。希望我能找到它。有一个“典型的地方”吗?或者它可能在任何地方?一个可能的地方是您的IIS Web.config文件。那可能是最好的先看的地方。如果我理解正确,B公司必须这样做,对吗?有什么方法可以很容易地解决这个问题吗?谁控制运行在
http://www.myurl.com:8088
需要删除添加的
X-Frame-Options
响应头,以便在另一个源运行的任何代码都能够对该内容进行帧处理。如果您无法控制服务器在
http://www.myurl.com:8088
那么,您无法采取任何措施来允许您的网站对该内容进行框架设置。
X-Frame-Options
的全部目的是阻止第三方网站在内容所有者不愿意的情况下构建内容。如果第三方网站有办法绕过它,那就无法达到目的了好吧,那么我会寻找X-Frame-Options部分并将其删除。希望我能找到它。有一个“典型的地方”吗?或者它可能在任何地方?一个可能的地方是您的IIS Web.config文件。那可能是最好的先看的地方。