【发布时间】:2017-08-08 21:31:29
【问题描述】:
我想忽略我网站上的 X-frame 标头,以便 iframe 可以加载外部网站。有像 chrome 扩展 this 一个完美的作品。如何通过 javascript 实现相同的概念?
【问题讨论】:
标签: javascript iframe x-frame-options
【发布时间】:2017-08-08 21:31:29
【问题描述】:
您不能使用在浏览器中运行的前端 JavaScript 代码导致 X-Frame-Options 响应标头被忽略。 X-Frame-Options 是一种安全功能,其部分目的是防御点击劫持攻击。如果任何网站可以只使用一些 JavaScript 代码来导致浏览器忽略 X-Frame-Options,那几乎就完全没用了。
这就是为什么您可以在自己的浏览器中忽略它的唯一方法是通过安装问题中提到的扩展程序来有意选择不安全浏览。
但您不能使用 JavaScript 通过绕过浏览器内置支持的安全功能(如 X-Frame-Options)来强制其他用户进行不安全的浏览。
【讨论】: