【发布时间】:2019-01-08 00:16:07
【问题描述】:
是否可以编写一个 webapp 来显示第三方网页而无需充当代理?
这是因为我看到像comic-rocket.com* 这样的服务受到X-frame-options: sameorigin 的伤害。虽然我完全理解,这是防止点击劫持的一项重要安全功能,但这也意味着,与原生应用程序相比,Web 应用程序已经失去了一项潜在的重要功能。
使用服务的服务器作为代理当然是一种解决方案,但会显着增加数据使用量,因为所有资源也必须通过代理重定向,以防止嵌入式资源出现同源问题。此外,网站可能会阻止此类行为。法律影响也不清楚。因此,服务器端解决方案可能不可行。
所以我想知道:是否有任何方法可以从用户那里获得忽略 X-frame-options 的权限? PWA 可以吗?
* 不隶属。我只是该服务的用户,但对我可能向他们建议的解决方案感兴趣,或者我什至可以使用书签/Tampermonkey 做些什么。
作为一点历史记录,以前的网页现在受 X-frame-options 设置的影响,用于将顶级框架重定向到它们自己,这在 Comic-rocket.com 的情况下最终对用户体验的影响较小。可悲的是,重定向顶级 URL 的能力已经成为恶意广告的一个大问题,并且显然也被阻止了。
【问题讨论】:
标签: web-applications permissions same-origin-policy