我想要一个html文件由任何网址加载为iframe,它由Github托管。
<?php
header('X-Frame-Options: GOFORIT');
?>
我认为我们无法应用this one(mod_headers),那么还有办法吗?
答案 0 :(得分:7)
支持回答:
我们阻止iframe以防止针对我们用户的点击劫持攻击。我们 通过为每个页面发送“X-Frame-Options:deny”标题来完成此操作。 点击劫持是一种合法的攻击媒介,目前我们没有 有计划删除“X-Frame-Options:deny”标题或允许 非GitHub拥有的属性的例外。遗憾的是,这些措施是必要的,但我们有责任采取一切实际措施来保护我们的用户。
答案 1 :(得分:1)
正如jeum解释的那样,没有骰子的iframe,它就行不通。如果您可以使用元标记覆盖该指令,则可能会有效,but you can't:
请注意,此标记必须作为HTTP标头发送,如果在META HTTP-EQUIV标记中找到,则该指令将被忽略。
因此,它不适用于iframe。但它真的必须是一个iframe吗?因为加载脚本仍然有用,所以你可以这样做:
您网站上的脚本(我们称之为load_content.js):
var node = document.createElement('div')
node.innerHTML = '{place your code encoded as a JS string here}'
document.appendChild(node)
然后从其他网站使用它:
<script src="{URL to load_content.js}"></script>
当然,这对您使用它的网站有一些安全隐患,但它可能足以满足您的需求。