我有一个 ASP.NET Core MVC 网站,它是门户内 IFRAME 的 src。门户和 .NETCore 应用程序都具有相同的域(例如 site.portal.domain / portal.domain)。
当我进入门户时,我在浏览器中收到一条消息:
mysite.portal.domain 拒绝连接
(在 Chrome 上),其他浏览器给出不同的错误,如 IE 11 给出的:
此内容不能在框架中显示
在 Chrome 调试中,我发现了以下消息:
拒绝在框架中显示“https://site.portal.domain”,因为它 将“X-Frame-Options”设置为“sameorigin”。
关于如何解决这个问题的任何提示?
【问题讨论】:
标签: html asp.net-mvc asp.net-core iframe
X-FRAME-OPTIONS 用于防止clickjacking 尝试。如果您拥有该应用程序并希望它被框架,您可以跳过限制:
services.AddAntiforgery(o => o.SuppressXFrameOptionsHeader = true);
默认情况下,生成 X-Frame-Options 标头的值为 SAMEORIGIN。如果此设置为“true”,则不会为响应生成 X-Frame-Options 标头。
【讨论】:
services.AddAntiforgery(o => o.SuppressXFrameOptionsHeader = true); to ConfigureServices in Startup.
app.Use(async (context, next) => { context.Response.Headers.Add("X-Frame-Options", "AllowAll"); await next(); }); 或者,最好添加您允许的 URL。