直到今天,我才能在我的webApp中的iFrame内向授权code发出请求。
但是从今天起我得到了以下错误:
Refused to display 'https://app.box.com/api/oauth2/authorize?response_type=code&client_id=vdjlo1qw0234qbik69npfbvftl5m3d5' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.
API今天发生了变化吗?
答案 0 :(得分:4)
这可能与dropbox和box.com上发现的最近security vulnerability有关。
简而言之,该漏洞允许在界面外查看共享链接。限制包括相同的来源会阻止这种情况。
实质上,此限制意味着为了将内容嵌入iframe,iframe的父框架必须从同一个域提供。