问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

iframe 跨站 被浏览器拦截

头像
youyu
    17113

    前端代码:

    <iframe src="Customer/login_to_spe" width="100%" height="1200px" scrolling="no" frameborder="0"> 

</iframe>

    后端代码:

    function login_to_spe(){
        //省略了get url 代码
   header("Location: $url");
}

    前端代码和后端代码都在同一个域名下,login_to_spe()获取的url是另一个域名下的

    iframe引用的是同域名下的url,虽然这个url进行了跳转,但为什么还是被浏览器拦截了?

    浏览器报的错误:Load denied by X-Frame-Options: https://xxxx.com/ does not permit cross-origin framing.

    最后查出来的问题是:清了浏览器的缓存就不会报错了。。ORZ。。

    iframephp
    阅读 6.1k
    1 个回答
    得票最新
    头像
    悲惨的大爷
      2.1k1631

      请求数据步骤

      发送请求--->浏览器接受响应--->判断是否是同域下

      是的话,就把响应数据返回给请求点。不是的话就提醒禁止跨域请求。

      现在可以在响应头中增加

      header("Access-Control-Allow-Origin: *");    //允许的域
header("Access-Control-Allow-Methods: POST, GET, OPTIONS");    //允许的方法
header("Access-Control-Allow-Headers: X-PINGOTHER");    //允许的自定义header

      告诉浏览器可以把响应值返回给跨域请求的点

      =============================================================================
      1楼的评论,说这针对的不对
      看提示
      Load denied by X-Frame-Options: https://xxxx.com/ does not permit cross-origin framing.

      X-Frame-Options头就是用来告诉浏览器,本页面是否应该在frame显示本页面。
      它的配置:

      DENY              这个页面不允许在frame中显示
SAMEORIGIN        只允许在本域的frame中显示
ALLOW-FROM uri    配置允许显示的域

      因此,只需要添加如下

      header("X-Frame-Options: ALLOW-FROM xxx你的域xxx");
      撰写回答
      你尚未登录,登录后可以
      • 和开发者交流问题的细节
      • 关注并接收问题和回答的更新提醒
      • 参与内容的编辑和改进,让解决方法与时俱进
      推荐问题