如何删除 django 中的 X Frame Options 标头？答案

【问题标题】：How to remove the Xframe Options header in django?如何删除 django 中的 X Frame Options 标头？
【发布时间】：2015-09-19 13:36:25
【问题描述】：

我创建了一个页面，其中包含iframe。在iframe 中，我想显示多个不同的链接，例如来自 facebook 的文章、新闻、youtube 视频或任何其他可能的 URL。但是，由于 Xframe 标头，我无法这样做。我参考了以下链接： https://docs.djangoproject.com/en/1.8/ref/clickjacking/ 和 Django XFrameOptionsMiddleware (X-Frame-Options) - allow iframe by client IP

但没有得到任何帮助。

我的 settings.py 文件的MIDDLEWARE_CLASSES 是：

MIDDLEWARE_CLASSES = (
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
)

从http://django-secure.readthedocs.org/en/latest/middleware.html，我发现使用装饰器@frame_deny_exempt可以解决我的问题。不过，我在 chrome 控制台中遇到了同样的错误，即 Refused to display '<URL>' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, SAMEORIGIN'.

有什么帮助吗？？

【问题讨论】：

标签： python django iframe x-frame-options clickjacking

【解决方案1】：

从 settings.py 中的 MIDDLEWARE 列表中删除 django.middleware.clickjacking.XFrameOptionsMiddleware

【讨论】：

非常感谢！ NGINX 和 Django 都发送 DENY，所以标题是 X-Frame-Options DENY, DENY ...
看准了！谢谢
漂亮！谢谢

【解决方案2】：

我有几个 Django 网站，有人想在 iframe 中展示它们。这是不可能的，因为“x-frame-options”标头值始终是 SAMEORIGIN。无论我做什么，我都无法删除“x-frame-options”标头值。

所以最后我决定做最后的解决方案，就是修改httpd.conf。我添加了这一行：

标头始终设置 X-Frame-Options ALLOWALL

它显示在 iframe 中。

【讨论】：

【解决方案3】：

如果我理解得很好，你这里有问题。 X-Frame-Options 是关于浏览器尊重您的标题，即是否允许您的网站在 iframe 中，而不是在 iframe 中允许第三个网站。

这分别发生在其他网站的标题中。因此，例如 facebook 已将上述标头设置为 DENY，因此无论您网站的标头是什么，任何支持此功能的浏览器都不允许您的网站显示它。

【讨论】：

你是对的。非常感谢您澄清我的问题... :)