Как я могу обойти X-Frame-Options: заголовок HTTP SAMEORIGIN?
Я занимаюсь разработкой веб-страницы, которая должна отображать в фрейме отчет, обслуживаемый сервером SharePoint другой компании. Они в порядке с этим.
Страница, которую мы пытаемся отобразить в iframe, предоставляет нам X-Frame-Options: SAMEORIGIN, что заставляет браузер (по крайней мере, IE8) отказаться от визуализации содержимого во фрейме.
Во-первых, это то, что они могут контролировать или это просто делает SharePoint по умолчанию? Если я попрошу их отключить это, они могут даже сделать это?
Во-вторых, можно ли что-то сказать браузеру, чтобы он игнорировал этот заголовок http и просто отображал фрейм?
5 ответов
Если 2-я компания рада, что вы получили доступ к их контенту в IFrame, им нужно снять ограничение - они могут сделать это довольно легко в конфигурации IIS.
Вы ничего не можете сделать, чтобы обойти это, и все, что работает, должно быть исправлено быстро в исправлении безопасности. Вы не можете сказать браузеру просто визуализировать фрейм, если заголовок исходного содержимого говорит, что он не разрешен в фреймах. Это упростит угон сеанса.
Если контент только GET, вы не публикуете данные обратно, тогда вы можете получить серверную часть страницы и прокси-контент без заголовка, но тогда любой пост обратно должен быть признан недействительным.
Вы можете обойти X-Frame-Options в <iframe> используя YQL. Вот подтверждение концепции, протестированной в Chrome и Firefox: Hacker News в<iframe>,
Процесс выглядит следующим образом:
- Запрос URL-адреса iframe из YQL (функция
loadURL), - Получить данные HTML из YQL (функция
getData), - Добавить
<base link>и<script>загрузка ссылок в iframe также с использованием YQL, - Вставить этот HTML в пустой
<iframe>(функцияloadHTML).
Пример кода JS:
var iframe = document.getElementsByTagName('iframe')[0];
var url = iframe.src;
var getData = function (data) {
if (data && data.query && data.query.results && data.query.results.resources && data.query.results.resources.content && data.query.results.resources.status == 200) loadHTML(data.query.results.resources.content);
else if (data && data.error && data.error.description) loadHTML(data.error.description);
else loadHTML('Error: Cannot load ' + url);
};
var loadURL = function (src) {
url = src;
var script = document.createElement('script');
script.src = 'https://query.yahooapis.com/v1/public/yql?q=select%20*%20from%20data.headers%20where%20url%3D%22' + encodeURIComponent(url) + '%22&format=json&diagnostics=true&env=store%3A%2F%2Fdatatables.org%2Falltableswithkeys&callback=getData';
document.body.appendChild(script);
};
var loadHTML = function (html) {
iframe.src = 'about:blank';
iframe.contentWindow.document.open();
iframe.contentWindow.document.write(html.replace(/<head>/i, '<head><base href="' + url + '"><scr' + 'ipt>document.addEventListener("click", function(e) { if(e.target && e.target.nodeName == "A") { e.preventDefault(); parent.loadURL(e.target.href); } });</scr' + 'ipt>'));
iframe.contentWindow.document.close();
}
loadURL(iframe.src);
Заголовок X-Frame-Options - это функция безопасности, применяемая на уровне браузера.
Если у вас есть контроль над пользовательской базой (ИТ-отдел для приложения corp), вы можете попробовать что-то вроде скрипта greasemonkey (если можете: а) развернуть greasemonkey для всех и б) развернуть ваш скрипт совместно (...)
Кроме того, вы можете прокси их результат. Создайте конечную точку на своем сервере, и пусть эта конечная точка откроет соединение с целевой конечной точкой и просто перенаправит трафик назад.
Да Fiddler это вариант для меня:
- Откройте меню Fiddler> Правила> Настроить правила (это эффективно редактирует
CustomRules.js). - Найти функцию
OnBeforeResponse Добавьте следующие строки:
oSession.oResponse.headers.Remove("X-Frame-Options"); oSession.oResponse.headers.Add("Access-Control-Allow-Origin", "*");- Не забудьте сохранить сценарий!
Что касается второго вопроса - вы можете использовать фильтры Fiddler, чтобы установить ответ X-Frame-Options заголовок вручную что-то вроде ALLOW-FROM *, Но, конечно, этот прием будет работать только для вас - другие пользователи по-прежнему не смогут видеть содержимое iframe (если они не делают то же самое).