एक्स-फ़्रेम-विकल्प SAMEORIGIN मेरे डोमेन पर iframe अवरुद्ध

Question

मैं http://www.jacklmoore.com/colorbox का उपयोग कर रहा हूं ताकि एक लाइटबॉक्स में यूआरएल की सामग्री प्रदर्शित हो सके। कार्यान्वयन के बाद , कलरबॉक्स ने कुछ भी नहीं दिखाया।

बाद में, मैं क्रोम लॉग में निम्न त्रुटि देखा:

Refused to display document because display forbidden by X-Frame-Options. 

तो दस्तावेजीकरण के बाद मैं वेबसाइट के रूट .htaccess में निम्न पंक्ति कहा:

Header always append X-Frame-Options SAMEORIGIN 

आइफ्रेम एम्बेडिंग अनुमति देने के लिए मेरे अपने डोमेन पर

लेकिन मुझे अभी भी त्रुटि मिलती है, मैं एक्स-फ्रेम के लिए नौसिखिया हूं, और मैं मौजूदा एप्लिकेशन पर काम कर रहा हूं, इसलिए मैंने सोचा था कि .htaccess समाधान अच्छा होगा, लेकिन क्या इसे कुछ कोड से ओवरराइड किया जा सकता है? ध्यान दें कि यह सर्वर कॉन्फ़िगरेशन में नहीं है।

Answer 1

, एक और एक्स फ़्रेम-विकल्पों हैडर भेजने का प्रयास करें अपने पृष्ठ के शीर्ष करने के लिए

<?php header('X-Frame-Options: GOFORIT'); ?> 

जोड़ें। इसे SAMEORIGIN कमांड को अक्षम करना चाहिए।

Answer 2

moz dev पृष्ठों के अनुसार। यहाँ

SAMEORIGIN
पेज के रूप में ही पेज खुद ही मूल पर एक फ्रेम में प्रदर्शित किया जा सकता की परिभाषा है।

इसका मतलब यह है कि केवल अगर आप अपनी साइट से कुछ पेज शामिल कर रहे हैं तो दिखाया जाएगा।
चलो मान लीजिए

1. आप http://foo.com पर एक वेबसाइट है और आप कुछ http://foo.com/sec_page से iframe में दिखाने के लिए यह iframe में प्रकट होंगे चाहते
2. लेकिन आप एक ही आइफ्रेम (http://foo.com/sec_page) http://bar.com में लोड करने के लिए एम्बेड अगर तो यह कुछ भी प्रदर्शित नहीं करेगा। जैसा कि मूल बदल जाएगा।

आप पढ़ सकते हैं full note here

Answer 3

आप प्रतिक्रिया से शीर्ष लेख आपको मिल निकाल सकते हैं:

header_remove ("एक्स फ़्रेम-विकल्पों को");

Answer 4

डेन या समीरिजिन में XFrame विकल्प सेट करें। अन्यथा यह आपकी साइट XSS हमले के लिए कमजोर है, तो फ़िशिंग हमलों या फ़्रेम इंजेक्शन को क्राफ्ट करने में सहायता कर सकती है।

Answer 5

मैं httpd.conf में यह जोड़ दिया है:

Header unset X-Frame-Options 

और यह काम करता है।