iframe 嵌入页面?才不是那么轻轻松松!

简介: iframe 嵌入页面?才不是那么轻轻松松!

背景介绍


故事是这样的,前一阵接到一个任务,一个看似很平常的任务,我和一个实习生同学开开心心的完成并等待联调。


可是事与愿违,服务端同学和对接方没有谈拢,他们就想到一个鬼点子,用 iframe 嵌入他们的页面,以实现我们的需求。可是在调研的过程中我发现了以下问题:


  • 部分页面无法嵌入
  • 无法通过设置 cookie 绕过该系统的登陆


可能这个问题在各位前辈面前就是常见问题,但是我也去查询了问题出现的原因。于是,就有了这篇文章。


踩坑纪实


X-Frame-Options


部分页面无法嵌入的原因

参考:developer.mozilla.org/zh-CN/docs/…


The X-Frame-OptionsHTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免 clickjacking 攻击。


X-Frame-Options 有三个可能的值:


X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from https://example.com/


deny

  • 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。

sameorigin

  • 表示该页面可以在相同域名页面的 frame 中展示。

allow-from uri

  • 表示该页面可以在指定来源的 frame 中展示。

配置方法

  • Apache
  • nginx
  • IIS
  • HAProxy
  • Express

具体方法请参考上方 mdn 链接


SameSite cookies


无法通过设置 cookie 绕过该系统的登陆的原因


参考:developer.mozilla.org/zh-CN/docs/…


SameSite 是HTTP响应头 Set-Cookie 的属性之一。它允许您声明该Cookie是否仅限于第一方或者同一站点上下文。

SameSite 接受下面三个值:

Lax

  • Cookies允许与顶级导航一起发送,并将与第三方网站发起的GET请求一起发送。这是浏览器中的默认值。

Strict

  • Cookies只会在第一方上下文中发送,不会与第三方网站发起的请求一起发送。

None

  • Cookie将在所有上下文中发送,即允许跨域发送。


以前 None 是默认值,但最近的浏览器版本将 Lax 作为默认值,以便对某些类型的跨站请求伪造 (CSRF) 攻击具有相当强的防御能力。

使用 None 时,需在最新的浏览器版本中使用 Secure 属性。

Chrome76版本更新拒绝不安全的 samesite=none 的 cookie


结束语


网络异常,图片无法展示
|


工作中遇到问题在所难免,也请各位做好总结,这样才能进步~


✨✨✨✨✨✨✨✨✨✨✨✨✨✨✨

弓背霞明剑照霜,秋风走马出咸阳。
未收天子河湟地,不拟回头望故乡。

✨✨✨✨✨✨✨✨✨✨✨✨✨✨✨

相关文章
|
JavaScript 大数据 BI
Superset图表通过iframe嵌入Html网页展示一文详解
Superset图表通过iframe嵌入Html网页展示一文详解
1796 0
Superset图表通过iframe嵌入Html网页展示一文详解
|
5月前
|
缓存 JavaScript 前端开发
程序员必知:广告等第三方应用嵌入到web页面方案之使用js片段
程序员必知:广告等第三方应用嵌入到web页面方案之使用js片段
69 0
|
6月前
|
XML 前端开发 JavaScript
深入探究iframe:网页嵌入的魔法盒子(下)
深入探究iframe:网页嵌入的魔法盒子(下)
|
6月前
|
JavaScript 前端开发 安全
深入探究iframe:网页嵌入的魔法盒子(上)
深入探究iframe:网页嵌入的魔法盒子(上)
|
11月前
|
存储
如何在 WordPress 中嵌入 iFrame
如何在 WordPress 中嵌入 iFrame
119 1
|
Web App开发 前端开发
网页|如何实现网页变灰效果
网页|如何实现网页变灰效果
124 0
|
存储 JavaScript Linux
网页爱心特效弱爆了,我让你点击网页显示所有python模块!
一个点击网页出现爱心特效的插件 click_heart.js ,当然大家可能也见过其他博客上面,有点击网页出现类似 富强、民主、文明、和谐等等,关于代码在这里不多赘述,网上一查就能查到。代码如下:
455 0
|
JavaScript
大型情感剧集Selenium:5_alert窗口与iframe框架定位
今天和大家说说alert与iframe框架早selenium定位中,存在的问题吧。
142 0
|
安全 大数据 数据安全/隐私保护
那些酷炫的网页你也可以做到——第六篇(表单标签)
那些酷炫的网页你也可以做到——第六篇(表单标签)
160 0
那些酷炫的网页你也可以做到——第六篇(表单标签)