禁用网络安全后,我仍然无法克服同源策略
我在OS X上使用谷歌浏览器版本43.0.2357.81,并尝试在iframe中显示网页。即:
我按照这个链接的说明禁用web安全,并发现它有助于在iframes中显示本地文件,但当我试图显示不同的网页时,仍然会遇到相同的原始错误。
禁用Chrome中的同源策略
我在终端中打开了命令 -a Google\ Chrome --args --disable-web-security,并收到横幅消息,确认它有效:
您正在使用不受支持的命令行标志:--disable-web-Security。稳定性和安全性将受到影响。
然而,当我在chrome中查看我的网页时,仍然出现了相同的源错误,无法在iframe中查看该站点。
共有1个答案
这和Chrome本身无关;您在iframe中调用的服务器发回一个http头,其中包含
X-Frame-Options SAMEORIGIN
设置。甚至“chrome . exe-user-data-dir = c:\ tmp \ Chrome 2-allow-file-access-from-files-disable-web-security”也没有禁用Chrome中的iframe同源检查。您唯一的选择是将服务器的X-Frame选项切换到
X-Frame-Options ALLOWALL
(如果可以)。
-
同源策略(SOP)是Web应用程序安全模型中的一个重要概念。 什么是同源政策? 根据此策略,它允许在源自同一站点的页面上运行脚本,该站点可以是以下组合 - 域(域名) 协议 端口 实例 这种行为背后的原因是安全性。如果您在一个窗口中有而在另一个窗口中有,如果您不希望的脚本访问或修改的内容,或您想要在的上下文中运行操作。 以下是来自同一来源的网页。如前所述,相同的起源需要考虑域/协议/端口。 htt
-
我正在开发一个本地研究工具,要求我关闭Firefox的同源策略(就脚本访问而言,我并不真正关心跨域请求)。 更具体地说,我希望宿主域中的脚本能够访问嵌入在页面中的任何iframe中的任意元素,而不管它们的域是什么。 我知道以前的问题 如果这不能很容易地完成,我也会很感激任何见解,指出我的FF src代码的具体部分,我可以修改禁用SOP,以便我可以重新编译FF。
-
我正在开发一个phonegap/cordova应用程序,它不受我关心的站点的同源策略的约束。我使用chrome浏览器进行快速开发,如果它受同源策略的约束,我就无法做到这一点。关于如何完全禁用跨原产地政策,有一个三年前的好答案。但是,在完全禁用网络安全的情况下打开浏览器似乎是一种灾难。 由于anser已经3年了,我希望现在有一种方法可以在每个URL的基础上禁用相同来源的策略。要么本地主机上的所有网页
-
我目前正在为我们的软件创建一个演示应用程序,它基本上是一个网站,只是在一个Delphi应用程序内交付,该应用程序与TWeb浏览器一起工作,以防止用户做不必要的事情。我已经通过tubeplayer-plugin嵌入了一些youtube视频,正因为如此,我得到了与“同源政策”相关的错误对话框。 在IE中,通常有一个选项可以禁用此策略,对于TWebbrowser有什么方法可以做到这一点吗?(我指的选项请
-
Here are the articles in this section:跨站脚本跨站请求伪造
-
网络安全目前包括WAF策略。 WAF策略 WAF策略用于为Web应用提供集中式保护,使其免受常见攻击和漏洞的侵害。