我正在尝试在网页中嵌入亚马逊网站。类似于这里所做的事情: http://en-jo.amazon.shop.cashbasha.com/
我尝试使用 iframe,但亚马逊阻止它作为安全措施显示:
<iframe src="http://www.amazon.com/" width="100%" height="100%">
<p>Your browser does not support iframes.</p>
</iframe>
我得到错误:
拒绝在框架中显示“http://www.amazon.com/”,因为它设置了 'X-Frame-Options' 到 'SAMEORIGIN'。
如果亚马逊不允许,那么上面的网站是如何实现的呢?
【问题讨论】:
您所引用的网站似乎是通过在其网页中输入纯 javascript 代码和 html 来实现的。小心这个网站,因为它可能是一个网络钓鱼诈骗。
【讨论】:
我认为这种方法不会对您产生太大影响。浏览器对 iframe 和混合安全级别越来越挑剔。从长远来看,试图在您的客户端上寻找破解方法来规避这一点肯定会失败,并使您的用户面临风险。
参考:How Can I Bypass the X-Frame-Options: SAMEORIGIN HTTP Header?
顺便说一句,我不会(也不会)点击格式与您发布的链接相同的链接。如果我在 URL 中看到 Amazon,我希望它是基本域。否则,我认为它旨在欺骗用户,因此即使找到了技术解决方案,我认为您也不应该在实践中部署它。
【讨论】:
您可以使用X-Frame-Bypass 自定义元素,它允许您绕过X-Frame-Options: deny/sameorigin。
【讨论】: