【发布时间】:2020-04-25 03:32:17
【问题描述】:
就在几周前,在 iframe 中创建收件人视图似乎没有任何重大复杂性。但是在今天的测试中,针对开发的演示站点,我发现该 url 最终在内部解析为被我的浏览器阻止的内容,因为“此内容无法在 iframe 中显示。发布者。”
虽然初始返回 URL 返回似乎没问题,但事实证明,当系统解析为 account-d.docusign.com 时,docusign 正在设置 X-Frame-Origins: SAMEORIGIN,这肯定会阻止任何 iframe 内容。
但是,虽然 docusign 表示由于尺寸问题和移动体验,它不推荐 iframe,但它并没有说 iframe 完全不允许用于网络应用程序。无论如何,设置
viewRequest.XFrameOptions = "allow_from"; viewRequest.XFrameOptionsAllowFromUrl = myHost;
应该更改创建的视图请求生成的 url 上的 X-Frame-Origins 标头,不是吗?
谁能看到我可能做错了什么,或者,docusign 最近发布的版本是否改变了行为,使得 iFrame 完全被禁止?
【问题讨论】:
-
您是否使用 Auth Code Grant 进行身份验证并在 iframe 中执行此操作? account-d.docusign.com 是用于身份验证的 URL,所以我对那部分感到困惑。
-
分享您的代码可能会有所帮助
-
它在本地工作正常,带有 URL。所以我的问题是,Docusign 在设置收件人视图时是否使用 X-* 标签。如果是这样,我们怎么看,只是在标头中使用 X* 标记还是 Docusign 还在其标头中创建了更新的内容安全内容。
-
我仍然不清楚您在做什么以及有什么问题。您可能想问另一个问题或进一步解释,代码会有所帮助。您提到的 URL 向拉里和我暗示您不只是在进行嵌入式签名,这让人有些困惑。
-
我正在尝试让基本的嵌入式签名示例正常工作。我不明白的疯狂部分,我试图追查的是,它返回的 url 不仅在另一个浏览器窗口中运行良好,而且在 iframe 中的完全不同的机器上运行良好。但是,在跟踪这些请求的 .har 时,在失败的机器上似乎有额外的内容安全属性。
标签: iframe docusignapi