Где я могу найти значение X-Frame-Option в Windows Server?

Я проверил раздел заголовка http в IIS 10.0, и я проверил файл веб-конфигурации, и я нигде не могу найти эту опцию, но где-то устанавливаю значение X-Frame-Option в SAMEORIGIN:

Отказался отображать 'https://example.co.uk/' во фрейме, поскольку он установил 'X -Frame-Options» на «того же происхождения».

Когда я добавляю X-Frame-Options в web.config:

<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
<add name="X-Frame-Options" value="allow-from https://example.co.uk/" />
</customHeaders>
</httpProtocol>

В консоли получаю следующее:

Отказался отображать 'https://example.co.uk' во фрейме, поскольку он установил несколько 'X- Заголовки Frame-Options с конфликтующими значениями («SAMEORIGIN, allow-from https://example.co.uk/'). Возвращаясь к «запретить».

Мне действительно нужно добавить iframe на другой сайт, поэтому мне нужен этот текущий сайт, чтобы он отображался. У меня есть полный доступ к обоим сайтам/серверам.

Сайт построен на С# .Net, и там также не устанавливаются заголовки ответа - во всяком случае, из моих поисков!

Пожалуйста, может кто-нибудь объяснить, как это может происходить?

Заранее спасибо.


.net x-frame-options iis-10
person user3515765    schedule 21.02.2019    source источник
comment
Вы должны проверить документацию веб-приложения, чтобы узнать, как предотвратить генерацию X-Frame-Options таким образом. Если вы хотите сделать это самостоятельно в IIS, используйте модуль перезаписи URL, чтобы удалить или изменить его, sadomovalex.blogspot.com/2015/12/   -  person Lex Li    schedule 21.02.2019
comment
Опубликуйте то, что вы узнали, в качестве ответа и примите это.   -  person Lex Li    schedule 22.02.2019
comment
Все еще отрабатываю. Статья была полезной, но сайт все еще не отображался. Как только найду решение, так и сделаю ????   -  person user3515765    schedule 06.03.2019

Ответы (1)


arrow_upward
1
arrow_downward

Для тех, кто сталкивается с этим, я надеюсь, что это поможет. MVC 4+ автоматически добавляет параметр x-frame как тот же источник. Поэтому, если вы установите его в IIS или в конфигурации, произойдет сбой, поскольку он подберет оба значения. Мой совет — не переопределять его и подумать о другом подходе, возможно, API для заполнения страницы входа на другом сайте? В настоящее время большинство сайтов в любом случае позволяют использовать только тот же orgin.

Однако, если вам нужно переопределить его, вы можете добавить следующее в свой файл global.asax.cs в методе Application _Start():

System.Web.Helpers.AntiForgeryConfig.SuppressXFrameOptionsHeader = true;

Затем вы можете установить нужное значение в IIS или непосредственно на сайтах web.config.

person user3515765    schedule 13.03.2019