仅删除特定控制器的“X-Frame-Options”标头

Question

我正在尝试使用以下方法仅删除特定控制器操作的“X-Frame-Options”标头：

protected override void OnResultExecuting(ResultExecutingContext filterContext)
{
    filterContext.HttpContext.Response.Headers.Remove("X-Frame-Options");
    base.OnResultExecuting(filterContext);
}

但是，这似乎根本不起作用。我可以让它在我的网站上运行的唯一方法是将此代码添加到下面的 global.asax 中。我很确定我错过了 ASP.NET MVC / IIS 管道中允许我覆盖该标头的 IIS 设置的正确步骤。这可能吗？

protected void Application_EndRequest()
{
    Response.Headers.Remove("X-Frame-Options");
}

至于我为什么要这样做，我正在构建一个小部件，用户将能够通过使用 iframe 在他们的个人网站上使用它，但允许他们将信息发回我们的网站。我意识到关闭此标头存在安全隐患，虽然我欢迎有关如何减轻这些风险的任何建议，但我只想知道我的要求是否可行。

Answer 1

OnResultExecuting 在 MVC 生命周期中发生得太早。标题尚未设置。

你需要的是 OnResultExecuted 方法，它在 View 被渲染之后运行。

以下是您为要查找的内容编写过滤器类的方法：

using System.Web.Mvc;

namespace Test.Filters
{
    public class RemoveXFrameOptionsAttribute : ActionFilterAttribute
    {
        public override void OnResultExecuted(ResultExecutedContext filterContext)
        {
            filterContext.HttpContext.Response.Headers.Remove("X-Frame-Options");
            base.OnResultExecuted(filterContext);
        }
    }
}

然后使用它，装饰你想要这个过滤器应用的任何控制器或动作。

[RemoveXFrameOptions]
public class TestController : Controller
{
    public ActionResult Index()
    {
        return View();
    }
}

或

public class TestController : Controller
{
    [RemoveXFrameOptions]
    public ActionResult Index()
    {
        return View();
    }
}