मैं चाहता हूँ html फ़ाइल के किसी भी यूआरएल से आइफ्रेम, यह Github ने होस्ट किया है के रूप में लोड करने के लिए ..github द्वारा होस्ट की गई सामग्री में एक्स-फ़्रेम-विकल्प कैसे सेट करें?
This solution काम नहीं करता:
<?php
header('X-Frame-Options: GOFORIT');
?>
और मुझे लगता है कि हम this one लागू नहीं कर सकते (mod_headers), तो ऐसा करने का कोई तरीका है?
समर्थन जवाब:
हम अपने उपयोगकर्ताओं के खिलाफ क्लिकजैकिंग हमलों को रोकने के iframes ब्लॉक। हम प्रत्येक पृष्ठ के लिए "एक्स-फ़्रेम-विकल्प: अस्वीकार करें" शीर्षलेख भेजकर ऐसा करते हैं। क्लिकजैकिंग एक वैध हमले वेक्टर है और इस समय हम को "एक्स-फ़्रेम-विकल्प: अस्वीकार करें" हेडर को हटाने की योजना नहीं है या गैर-गिटहब स्वामित्व वाली संपत्तियों के अपवादों को अनुमति देने की योजना है। यह दुर्भाग्यपूर्ण है कि ऐसे उपाय आवश्यक हैं, लेकिन हमारे उपयोगकर्ताओं की सुरक्षा के लिए सभी व्यावहारिक कदम उठाने की हमारी ज़िम्मेदारी है।
जैसा कि जूम समझाया गया है, अगर आईफ्रेम के साथ कोई पासा नहीं है, तो यह काम नहीं करेगा। आप एक मेटा टैग के साथ निर्देश को रद्द कर सकते हैं, तो यह काम हो सकता है, but you can't:
ध्यान दें कि यह टोकन एक HTTP हेडर के रूप में भेजा जाना चाहिए, और निर्देश नजरअंदाज कर दिया जाएगा अगर एक मेटा HTTP-समतुल्य टैग में मिला ।
तो, यह एक आईफ्रेम के साथ काम नहीं करता है। लेकिन क्या यह वास्तव में एक आईफ्रेम होना है? क्योंकि लोड हो रहा है एक स्क्रिप्ट अभी भी काम करेगा, तो आप कुछ इस तरह कर सकता है: अपनी साइट पर
स्क्रिप्ट (यह load_content.js कॉल):
var node = document.createElement('div')
node.innerHTML = '{place your code encoded as a JS string here}'
document.appendChild(node)
और फिर इस तरह अन्य साइटों से इसका इस्तेमाल करते हैं:
<script src="{URL to load_content.js}"></script>
बेशक, इसका उपयोग उन साइटों के लिए कुछ सुरक्षा प्रभाव पड़ता है जिन पर आप इसका उपयोग करते हैं, लेकिन यह आपकी आवश्यकताओं के लिए पर्याप्त हो सकता है।
ओटीओएच, आप उस सामग्री को कहीं और क्यों होस्ट नहीं करते हैं? एक छोटे वर्चुअल सर्वर को वास्तव में बहुत अधिक खर्च नहीं होता है (जब तक कि आप बहुत सी रैम और हार्डडिस्क स्पेस नहीं चाहते) (मैं प्रति माह 6 € या उससे भी अधिक का भुगतान करता हूं), और यहां तक कि यदि आप किसी भी पैसे का भुगतान नहीं कर सकते हैं, तो साइटें हैं जो आपको लगता है कि कुछ एचटीएमएल पेज मुफ्त में होस्ट करते हैं, मुझे लगता है।