AJAX和YouTube:“ X-Frame-Options”到“ SAMEORIGIN”。
我正在写一个通过jQuery动态加载内容的网站。这样做的原因是使音频播放器保持运行状态,同时无需刷新即可浏览页面内容。
尝试使YouTube视频正常工作会遇到麻烦,它的设置是这样的。
网站内容是使用.load()加载,并为视频页面包含的链接到YouTube视频的无序列表,每一个空<div>的<iframe>的。点击链接可放大<li>并将其嵌入<iframe>视频。
一切正常,除了<iframe>不会加载源,引发此错误。
**拒绝 在框架中显示“
也试图加入<iframe>到<li>与display: none;具有相同的结果。
我以为我了解javascript相同的域策略,但这超出了我的范围。搜索错误使我相信这是服务器端的东西?但这没有任何意义。
很难摆弄这样的东西,希望它有意义。
问题答案:
该错误意味着该文档只能用作位于www.youtube.com上的文档中的iframe
请使用嵌入代码的网址:
http://www.youtube.com/embed/myvideo
它将发送一个X-Frame-Options-header,其值为ALLOWALL
-
所述X-Frame-OptionsHTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面<frame>,<iframe>或<object>。通过确保其内容未嵌入其他网站,网站可以使用此功能来避免 点击劫持 攻击。 只有当访问文档的用户使用浏览器支持时才提供附加的安全性X-Frame-Options。 Header type Response header Forbidden he
-
问题内容: 一旦用户提供了指向视频的链接,我就会尝试将youtube视频嵌入到我的页面中。 但是,当我尝试添加此错误时,出现此错误。检查Chrome中的页面后,我在控制台标签中看到此错误 “由于X-Frame-Options禁止显示而拒绝显示文档” 我不能看视频,甚至在和也 我什至尝试添加 阅读其他帖子中的某些解决方案后。 但是我仍然遇到同样的错误。 我还看到youtube具有嵌入对象的方法来显示
-
问题内容: 我在jsp上安装了CKeditor,并且每当我上传一些内容时,就会弹出以下错误: 我尝试过删除Spring Security,并且一切正常。如何在Spring Security xml文件中禁用此功能?标签之间应该写些什么 问题答案: 默认情况下设置为拒绝,以防止点击劫持攻击。要覆盖它,您可以将以下内容添加到您的spring安全配置中 以下是政策的可用选项 DENY- 是默认值。使用此
-
问题内容: 我是Intab的作者,这是一个Chrome扩展程序,可让您查看内联链接而不是新标签。幕后没有什么花哨的事情,它只是一个iframe,可加载用户单击的URL。 除了将X-Frame-Options标头设置为DENY或SAMEORIGIN的网站外,它的工作原理非常好。一些非常大的网站(例如Google和Facebook)都使用它,这给人带来了一些混乱的体验。 有什么办法可以解决这个问题?由
-
问题内容: 我从API的响应中收到X-Frame- Options标头,但据我所知,为了防止clickjacking攻击,我需要在UI代码中添加它。UI代码(用angularjs编写)部署在Tomcat(版本7.0.72)服务器中。我尝试在应用程序的web.xml中添加以下过滤器。 但是,我看不到标题被添加。有人可以帮我找出解决方案吗? 问题答案: 我找到了解决方案。X-Frame- Option
-
我正在开发一个网站,应该是响应,以便人们可以从他们的手机访问它。该网站有一些安全的部分,可以登录使用谷歌,脸书等(OAuth)。 服务器后端使用ASP.NET Web API 2开发,前端主要使用AngularJS和一些剃刀。 现在,就我而言,我不在HTML文件中使用任何iframe。 我搜索了一下,但没有答案让我解决这个问题。