我正在开发一个网页,需要在iframe中显示另一家公司的SharePoint服务器提供的报告.他们对此没意见.
我们试图在iframe中呈现的页面为我们提供了X-Frame-Options:SAMEORIGIN,这会导致浏览器(至少IE8)拒绝呈现框架中的内容.
首先,这是他们可以控制的,还是SharePoint只是默认情况下做的?如果我让他们关掉这个,他们能做到吗?
其次,我可以做些什么来告诉浏览器忽略这个http标头,只呈现帧吗?
我正在开发一个网页,需要在iframe中显示另一家公司的SharePoint服务器提供的报告.他们对此没意见.
我们试图在iframe中呈现的页面为我们提供了X-Frame-Options:SAMEORIGIN,这会导致浏览器(至少IE8)拒绝呈现框架中的内容.
首先,这是他们可以控制的,还是SharePoint只是默认情况下做的?如果我让他们关掉这个,他们能做到吗?
其次,我可以做些什么来告诉浏览器忽略这个http标头,只呈现帧吗?
如果第二家公司很乐意让你在IFrame中访问他们的内容,那么他们需要取消限制——他们可以在IIS配置中轻松做到这一点.
您不能做任何事情来规避它,任何可以工作的东西都应该在安全修补程序中快速打上补丁.如果源内容标题显示框架中不允许,则不能告诉浏览器只呈现框架.这将使会话劫持变得更容易.
如果内容是GET only,则不发回数据,则可以获得页面服务器端,并在不使用标题的情况下代理内容,但任何发回都应无效.