抑制 DNN 中的默认 XFrameOptions

Question

我正在尝试从 DNN 中删除默认的 X-Frame-Options: SAMEORIGIN 标头，以便允许 iframe 链接到我的网站。

我发现建议的方法是使用 AntiForgeryConfig.SuppressXFrameOptionsHeader = true （来源：MVC 5 prevents access to content via Iframe）

但是，由于 DNN 没有可访问的 global.ascx.cs 文件，我不确定如何添加它。

看起来其他人已经使用自定义模块成功地做到了这一点： https://www.dnnsoftware.com/forums/threadid/531595/scope/posts/remove-x-frame-options-value-of-sameorigin

我也尝试过这样做，但没有达到预期的效果：

using System.Web;
using System.Web.Helpers;
using DotNetNuke.Entities.Modules;
using DotNetNuke.Entities.Modules.Actions;
using DotNetNuke.Services.Exceptions;

namespace DotNetNuke.Modules.IframeAllow
{

    public partial class IframeAllow : PortalModuleBase
    {        
        protected override void OnLoad(EventArgs e)

        {
            AntiForgeryConfig.SuppressXFrameOptionsHeader = true;

        }

    }

}

可能这是因为这需要在应用程序启动时发生？

Answer 1

您应该通过删除标题来更改 web.config 文件中的 X-Frame-Options：

<httpProtocol>
  <customHeaders>
    <remove name="X-Frame-Options" />
  </customHeaders>
</httpProtocol>

或者通过允许特定的允许来源（只能指定 1 个）：

<httpProtocol>
  <customHeaders>
    <remove name="X-Frame-Options" />
    <add name="X-Frame-Options" value="ALLOW-FROM https://mywebsite.org/" />
  </customHeaders>
</httpProtocol>

查看此线程以获取更多信息https://www.dnnsoftware.com/forums/threadid/547624/scope/posts/how-to-allow-iframe-content-on-dnn-site-x-frame-option