我正在编写一个类似intab加载内联iframe链接的Chrome扩展程序,除了将X-Frame-Options标题设置为DENY或SAMEORIGIN的网站外,它的效果很好。
在这个Question工作解决方案中提供了HTTP标头包含X-Frame-Options属性的情况。但是,X-Frame-Options也可以在HTML中的元素中设置。
有没有办法在Chrome加载之前删除这个元素?
答案 0 :(得分:0)
<meta name="X-frame-options"/> 没有<meta name="X-Frame-Options">之类的东西。
并且,在镀铬之前操纵DOM也是不可能的。
Chrome加载页面,然后创建dom。
x-frame-options是什么? X-frame-options是服务器端设置的http标头
它们是安全保护的一部分(例如,防止点击劫持)。 Chrome或任何其他浏览器都不允许您忽略/更改它。期。
旁注:如果是您的网站,您可以根据PHP更改x-frame-options。
旁注#2:唯一的方法是 XSS。我很确定你不想这样做。