第一次加载页面时出现“无法在框架中查看此内容”错误

Question

我开发了一个搜索表单，它托管在我公司的本地服务器（iis、net core 网站）中。该网站是托管在另一台服务器（apache、wamp）中的 Wordpress，也在公司中。两者都有不同的公共 IP，但都托管在同一域的子域下。

比如说，wordpress.company.com 和 search.company.com，我可以控制两者。

我第一次使用 iframe 插件进行测试时，似乎一切正常，但我现在意识到，Edge 中显示了这个错误。所有浏览器都显示相同的行为，但没有显示类似的消息。

此内容无法在框架中显示

这里应该有一些内容，但发布者没有 允许它显示在一个框架中。这是为了帮助保护 您可能进入本网站的任何信息的安全性。

试试这个

在新窗口中打开它（这是 iframe 内容 url 的链接）

奇怪的是我只需要按 F5 就可以正确加载所有内容。

Chrome 控制台中的错误是：

拒绝在框架中显示“http://subdomain.mysite.com/”，因为 它将“X-Frame-Options”设置为“sameorigin”。

如何解决此问题？

Answer 1

问题与here 中描述的问题类似，但由于 .net Core。解决方案也类似。

您还可以在问题的 cmets 中使用 @user770 提出的建议。但是，这并不能解决 iframe 块。这个答案也没有解释为什么刷新页面解决了这个问题。但是，这对用户来说并不是一个好的体验。

因此，解决方案很简单，并且可以通过代码完成，这样如果有人试图覆盖服务器中的 X-Frame-Otions 设置，oyu 会更加安全。任何多重设置都将在“拒绝”中派生。

您必须在项目的 startup.cs 文件中添加此项，以防止 .net core 自动添加 'sameorigin' 设置。

 public void ConfigureServices(IServiceCollection services)
 {
        //YOU CAN HAVE SOME CODE HERE

        services.AddAntiforgery(o => o.SuppressXFrameOptionsHeader = true);
 }

但是，这可能会给您的网站带来风险，并且这种情况适用于您对两个网站和两个域都有控制权的情况。

为了保护站点，您必须设置 X-frame-options 设置以允许您想要的域。再次在 startup.cs 中执行以下操作。

    public void Configure(IApplicationBuilder app, IHostingEnvironment env)
    {
        //YOU MAY HAVE SOME CODE HERE

        app.Use(async (context, next) =>
        {
            context.Response.Headers.Add("X-Frame-Options", "ALLOW-FROM http://*.MYCONTROLLEDDOMAIN.COM https://*.MYCONTROLLEDDOMAIN.COM");
            await next();
        });
    }

这样您将允许您的域在 iframe 中请求该网站。