html不是顶级域名,HTML iframe 标签支持某一顶级域名下的所有泛域名,限制其他顶级域名的展示实现...

最新推荐文章于 2022-05-11 12:10:59 发布
最新推荐文章于 2022-05-11 12:10:59 发布
阅读量1.7k 收藏 1
点赞数
文章标签: html不是顶级域名
本文通过调整X-Frame-Options及Content-Security-Policy响应头,解决了特定域名下的页面只能在同域名框架中显示的问题,并确保了不同浏览器间的兼容性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、在 360 浏览器 兼容模式下,出现 此内容不能显示在一个框架中 的提示,如图1

此内容不能显示在一个框架中

为了帮助保护在此网站中输入的信息的安全,此内容的发布者不允许在框架中显示该信息。

1dc198547ba8365342b9bdf716a53d33.png

图1

2、查看网页源代码,确定是由于 iframe 且是因为网址不一致导致,如图2

5436a0e8a541848e54db15faf3546738.png

图2

3、进一步分析,根源在于 响应标头 中包含:X-Frame-Options: SAMEORIGIN,如图3

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options

表示该页面可以在相同域名页面的 frame 中展示(即仅能够在tv域名下展示)。

f19d3ce4680e4d428e39765f45a2a40f.png

图3

4、在本地新建1个虚拟主机,tv.eastobacco.dev,且新建对应的页面 header.html,如图4

1ab13dbda4624c94bdfe0664d7077581.png

图4

5、设置 tv.eastobacco.dev 的响应头:X-Frame-Options: SAMEORIGIN,如图5

33f2b2e8418619093d68e4e8e8a15419.png

图5

6、在本地新建1个虚拟主机,mytv.eastobacco.dev,且新建对应的页面 index.html,如图6

216db35431f20b03c0c645e4b824b1e3.png

图6

7、在本地复现:此内容不能显示在一个框架中,如图7

9b80d12683c6325e235774e07aeaddc5.png

图7

8、tv.eastobacco.dev,新建对应的页面 index.html,包含本域名的 header.html, 如图8

d5feda3ec235f578862f4b53ff7ed586.png

图8

9、此内容不能显示在一个框架中的提示已经不存在,如图9

ad2e51c9f4f5ed97d0317cf77a2381ce.png

图9

10、因此,可以确定,响应头:X-Frame-Options: SAMEORIGIN,主要的作用是让header.html仅能够在tv域名下展示,但是现在的需求却是需要在所有二级域名下均能够展示,设置响应头:X-Frame-Options: frame-ancestors http://mytv.eastobacco.dev ,如图10

# add_header X-Frame-Options SAMEORIGIN;

add_header X-Frame-Options “Allow-From http://mytv.eastobacco.dev”;

add_header X-Frame-Options “Allow-From http://tv.eastobacco.dev”;

e6db90fe0f641de9c7f767b462b8bd35.png

图10

11、重复第7步骤,发现header.html可以在mytv域名下展示,如图11

2ea7cfca6e339ba5d162a429e0f7be50.png

图11

12、重复第9步骤,发现header.html在tv域名下无法展示,不符合预期,如图12

5082332117d0b2392572e943eb8241f2.png

图12

13、重新设置响应头:X-Frame-Options: frame-ancestors http://*.eastobacco.dev ,如图13

add_header X-Frame-Options “Allow-From http://*.eastobacco.dev”;

972d1a42132868ee313723ee33320c18.png

图13

14、重复第7步骤,发现header.html在mytv域名下无法展示,如图14

352f3f76aadad5cee1c4513546a65e9f.png

图14

15、重新设置响应头:X-Frame-Options: frame-ancestors http://mytv.eastobacco.dev, http://tv.eastobacco.dev ,如图15

add_header X-Frame-Options “Allow-From http://mytv.eastobacco.dev, http://tv.eastobacco.dev”;

ee1429ce341f50bf3eb49dd23801c843.png

图15

16、重复第7步骤,发现header.html在mytv域名下无法展示,如图16

9b0fa9feecc60a36d6ffdd66ef5563cc.png

图16

17、重新设置响应头:X-Frame-Options: frame-ancestors http://mytv.eastobacco.dev; http://tv.eastobacco.dev ,如图17

add_header X-Frame-Options “Allow-From http://mytv.eastobacco.dev; http://tv.eastobacco.dev”;

85f5873f90018e343c9c504902f0c1b7.png

图17

18、重复第7步骤,发现header.html在mytv域名下无法展示,如图18

ef5d92a58eaf4cd9d7ce826832af6f21.png

图18

19、参考网址:https://blogs.msdn.microsoft.com/ieinternals/2010/03/30/combating-clickjacking-with-x-frame-options/ ,Allow-From 不支持通配符或多个来源的列表,如图19

40a31b9022b8a6da35a0d3f447fe9e37.png

图19

20、参考网址:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy__by_cnvoid ,重新设置响应头:Content-Security-Policy: frame-ancestors http://*.eastobacco.dev ,如图20

add_header Content-Security-Policy “frame-ancestors http://*.eastobacco.dev”;

5684c4722af5125b80c5d57b05a2771b.png

图20

21、重复第7步骤,发现header.html可以在mytv域名下展示,符合预期,如图21

624160aef82d3e560df4093fed4e55ee.png

图21

22、重复第9步骤,发现header.html可以在tv域名下展示,符合预期,如图22

3e27e178e0c5841810aad5d6560c8217.png

图22

23、在另一个顶级域名中包含tv下的header.html,仍然可以成功包含,不符合预期,由于兼容模式不支持 Content-Security-Policy ,决定放弃兼容模式下的展示限制,允许所有域名包含tv下的header.html,如图23

450dc924daaece50fb0e0f5bd04c77f7.png

图23

24、开启极速模式,重复第7步骤,发现header.html可以在mytv域名下展示,符合预期,如图24

6243f012e0ffe5eeba386d17f45d9335.png

图24

25、开启极速模式,重复第9步骤,发现header.html可以在tv域名下展示,符合预期,如图25

5d7405f6e8d055cac10d3baaf81c4cea.png

图25

26、在另一个顶级域名中包含tv下的header.html,发现header.html无法展示,符合预期,如图26

708df71f880466efb8208ef346bbc30a.png

图26

27、重复第1步骤,正常显示,符合预期,如图27

570f21268bcf624382f9b53e8ca27da1.png

图27

28、兼容模式实则是IE浏览器,极速模式实则是Chrome浏览器,响应头仅设置Content-Security-Policy,则在IE浏览器下放弃了安全性设置,以保证在所有浏览器下,http://*.eastobacco.dev 皆可以包含tv下的header.html,其他顶级域名则不可包含。

梦羽灵泉
关注
SharePoint 2013 Dialog 此内容显示框架
段传涛 的专栏
06-07 1万+
SharePoint 2013 Dialog 此内容显示框架中 此处内容是引用了SP.UI.Dialog。 与Iframe 引起的内容处理方法完全致。用了天的时间,也没有修改完成。后来发现如下修改可以搞定。 此内容显示框架中 为了帮助保护在此网站输入信息安全,此内容发布者允许框架显示
域名间的session共享
xiekaitian123的博客
07-02 3444
由于公司业务需求,需要切换域名且保持用户的登录状态,所以开始了对域名(二级域名)做session同步。 思路: 1、 保证两个tomcat及域名的正常访问 2、 浏览器拿到的域名sessionId致 3、 服务能共享登录状态 主要步骤: 1、 安装、复制tomcat,并开放tomcat占用的端口 2、 设置域名(同级的二级域名) 3、 设置域名session致 4、 redis记录sess...
“IE已限制此网页运行可以访问计算机的脚本或”解决办法
10-18
IE已限制此网页运行可以访问计算机的脚本或
iframe标签引用显示为空,ie下 【此内容显示框架中, 为了帮助保护在此网站输入信息安全……】
以爱护甲,爱满枫林。
12-25 3556
版权声明:本文为博主原创文章,未经博主允许得转载。 https://blog.csdn.net/qq1049545450/article/details/62887050 <link href="https://csdnimg.cn/release/phoenix/template/css/ck_htmle...
简易二级域名系统v1.0发布 - 无需专业DNS支持
二级域名系统是种可以在已有顶级域名或主域名下创建多个二级域名的系统。 4. DNS(域名系统)的基础知识:DNS用于将域名映射到IP地址,使得用户能够通过域名访问互联网资源。专业DNS软件如BIND或MYDNS是网络管理...
top.location.href 没有权限 解决方法
12-09
同源策略是Web安全的核心机制之,它规定了个页面只能读取来自同协议、域名和端口的其他页面的数据和执行操作。当个页面试图通过`iframe`嵌入另个源的页面,并尝试通过JavaScript修改顶级窗口的URL时,...
什么是单点登录?如何实现?同域名下的单点登录、域名下的单点登录,详细举例说明
最新发布
05-23
在相同的父域名实现 SSO 是相对简单的场景之。通常可以通过共享 Cookie 来完成会话管理[^1]。以下是具体的技术细节: #### 关键点 - **Cookie 共享**:由于浏览器的安全策略,只有在同顶级域名及其子域名之间...
防止被IFRAME嵌套并自动跳到首页代码.rar
07-04
在“JS特效-其它代码”这个标签下,我们可以推断这段代码可能是种JavaScript实现的防护机制。JavaScript是种广泛用于网页交互和动态效果的编程语言,可以检测当前页面是否在IFRAME中运行,并根据条件执行相应的...
https页面中使用iframe出现安全警告的解决方法
燕窝
10-15 6946
该问题的出现通常是iframe中的src属性缺失引起的,解决方法如下:1.创建个只含有的空白htm页面,把iframe的src属性赋值为该空白页面。elmIfr = document.createElement("IFRAME"); elmIfr.scr="blank.html";document.body.appendChild(elmIfr); 2.src = "javascript
【Nginx】增加X-Frame-Options配置防止页面被嵌套(点击劫持)
姜太小白的博客
05-11 4184
X-Frame-Options X-Frame-Options 有三个值: DENY表示该页面允许在 frame 中展示,即便是在相同域名的页面中嵌套也允许。 SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri表示该页面可以在指定来源的 frame 中展示。 nginx配置X-Frame-Options头 配置文件般在nginx/conf/nginx.conf中 add_header X-Frame-Options SAMEO...
html打开时头部出现“为了帮助保护您的安全,您的Web浏览器已经限制此文件显示可能访问你的计算机的”
Dive的博客
12-15 4822
在和标签中间加上<!-- saved from url=(0014)about:internet -->代码, 可以免去浏览器的头部警告,直接指定页面运行,考虑安全性。
SharePoint Iframe 报错“此内容显示框架中”<续>
weixin_34237596的博客
06-25 1038
  在之前的SharePoint站点iframe引用中,我们遇到过下面的问题,就是其它系统或者通环境的SharePoint站点,引用SharePoint页面会报错“此内容显示框架中”,之前我们采取了解决方案的办法。   今天,无意中翻看msdn,发现了更加简便的方法,分享给大家。 原理介绍   在大部分情况下,如果网页在响应中发送 X-Frame-Options HTTP 头...
帮助保护你的安全,您的Web浏览器已经限制此文件显示可能访问您的计算机的活动内容
donglinshengan的专栏
07-02 1万+
在开发时,会遇到是要HTML来做UI,是要js与C++进行交互。在加载完页面后,些电脑中会出现“为帮助保护你的安全,您的Web浏览器已经限制此文件显示可能访问您的计算机的活动内容”(用IE打开,自己程序里面用的是chtmlview是看到的),这导致页面中用于与C++代码交互的按钮事件能在C++代码中接收。这是因为浏览器的安全限制造成的,可使用如下方法:因为HTML页面是本地的,我们可以在页面...
in a frame because it set 'X-Frame-Options' to 'sameorigin'
热门推荐
mxh的博客
02-12 7万+
我是打算在php网站中的HTML文件使用iframe标签调用django网站时遇到的问题,这句话说得好像有点繁琐,就是使用iframe时遇到的问题。查了很多相关资料,又说php网站的,有说html中没有设置,有说apache中需要配置,我全部尝试遍之后都没有解决,后知后觉,发现django中间件问题。先了解下背景知识。 1.同源策略 什么叫同源? URL由协议、域名、端口和路径组成,...
WPF:WebBrowser提示 为帮助保护你的安全,您的Web浏览器已经限制此文件显示可能访问您的计算机的活动内容
宋同学的Solution
12-29 7815
RT,近日使用百度地图API,需要在本地做html文件承载,加载本地文件时出现该异常,百度了下,搜到个适用于IIS的方案1.将文件放入IIS,使用网络路径,即将下面的路径改为IIS地址  ChooseBrowser.Navigate(new Uri(Environment.CurrentDirectory + "/Map/CreatMap.html", UriKind.Absolute))...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值