不同域名通过iframe嵌套显示 提示被拒绝显示
设置 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options
可以正常使用
add_header X-Frame-Options ALLOWALL;
语法
X-Frame-Options 有三个可能的值:
X-Frame-Options: deny X-Frame-Options: sameorigin X-Frame-Options: allow-from https://example.com/
指南
换一句话说,如果设置为 deny,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为sameorigin,那么页面就可以在同域名页面的 frame 中嵌套。
deny- 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
sameorigin- 表示该页面可以在相同域名页面的 frame 中展示。
allow-from uri- 表示该页面可以在指定来源的 frame 中展示。
-
Content-Security-Policy:default-src *; frame-src 'self' wvjbscheme://* https://gjfs.linkfinance.cn http://gjfs-v4.dev.linkfin.caih.local/web/user/login/ http://220.****6:8877/ http://1****.84/ http://2****81/ https://zg******.com/ http://zg****d.com/ http://******/ http://tes******oud.com/ http://xm*****n.com/ https://xm*****n.com/; style-src 'self' 'unsafe-inline'; script-src * 'unsafe-inline' 'unsafe-eval'; img-src * data: blob:
- 设置完即可使用
- 找到了新的优先级更高的配置
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
Content-Security-Policy: frame-ancestors <source>;的优先级 高于X-Frame-Options
add_header Content-Security-Policy "frame-ancestors *"; 所有网页都可以进行嵌入 - IIS处理办法,在web.config文件中添加修改如下内容
-
<httpProtocol> <customHeaders> <add name="Access-Control-Allow-Origin" value="*" /> <add name="X-Frame-Options" value="ALLOWALL" /> <add name="Content-Security-Policy" value="frame-ancestors *" /> </customHeaders> </httpProtocol>
