Как я могу обойти X-Frame-Options: SAMEORIGIN HTTP Header?

Ответ 1

Если 2-я компания рада, что вы получили доступ к их контенту в IFrame, тогда им нужно снять ограничение - они могут сделать это довольно легко в конфигурации IIS.

Нет ничего, что можно сделать, чтобы обойти его, и что-либо, что действительно работает, должно быть исправлено быстро в исправлении для системы безопасности. Вы не можете сообщить браузеру, что он просто отображает фрейм, если заголовок исходного содержимого не разрешен в фреймах. Это облегчило бы захват сеанса.

Если контент GET только, вы не отправляете данные обратно, тогда вы можете получить сторону сервера страниц и прокси-контент без заголовка, но затем любая запись должна быть недействительной.

Ответ 2

Вы можете обойти X-Frame-Options в <iframe> с помощью YQL. Вот доказательство концепции, протестированной в Chrome и Firefox: Hacker News в <iframe>.

Процесс выглядит следующим образом:

• Запросить URL-адрес iframe из YQL (функция loadURL),
• Получить данные HTML из YQL (функция getData),
• Добавьте теги загрузки <base link> и <script> в iframe, используя YQL,
• Вставьте этот HTML-код в пустой <iframe> (function loadHTML).

Пример кода JS:

var iframe = document.getElementsByTagName('iframe')[0];
var url = iframe.src;
var getData = function (data) {
    if (data && data.query && data.query.results && data.query.results.resources && data.query.results.resources.content && data.query.results.resources.status == 200) loadHTML(data.query.results.resources.content);
    else if (data && data.error && data.error.description) loadHTML(data.error.description);
    else loadHTML('Error: Cannot load ' + url);
};
var loadURL = function (src) {
    url = src;
    var script = document.createElement('script');
    script.src = 'http://query.yahooapis.com/v1/public/yql?q=select%20*%20from%20data.headers%20where%20url%3D%22' + encodeURIComponent(url) + '%22&format=json&diagnostics=true&env=store%3A%2F%2Fdatatables.org%2Falltableswithkeys&callback=getData';
    document.body.appendChild(script);
};
var loadHTML = function (html) {
    iframe.src = 'about:blank';
    iframe.contentWindow.document.open();
    iframe.contentWindow.document.write(html.replace(/<head>/i, '<head><base href="' + url + '"><scr' + 'ipt>document.addEventListener("click", function(e) { if(e.target && e.target.nodeName == "A") { e.preventDefault(); parent.loadURL(e.target.href); } });</scr' + 'ipt>'));
    iframe.contentWindow.document.close();
} 
loadURL(iframe.src);

Ответ 3

Заголовок X-Frame-Options - это функция безопасности, выполняемая на уровне браузера.

Если у вас есть контроль над вашей пользовательской базой (IT-отдел для приложения corp), вы можете попробовать что-то вроде greasemonkey script (если вы можете) развернуть greasemonkey для всех и b) развернуть свой script в общем способ)...

В качестве альтернативы вы можете проксировать их результат. Создайте конечную точку на своем сервере и запустите эту конечную точку с целевой конечной точкой и просто запустите трафик назад.

Ответ 4

Что касается второго вопроса - вы можете использовать фильтры Fiddler, чтобы вручную настроить заголовок ответа X-Frame-Options на что-то вроде ALLOW-FROM *. Но, конечно, этот трюк будет работать только для вас - другие пользователи все равно не смогут видеть содержимое iframe (если они не делают то же самое).

Ответ 5

Да Fiddler - это вариант для меня

В функции OnBeforeResponse CustomRules.js(меню Fiddler > Rules > Rules Rules) добавьте следующие строки

oSession.oResponse.headers.Remove("X-Frame-Options");
oSession.oResponse.headers.Add("Access-Control-Allow-Origin", "*");