Rails 使用iframe报错:IFRAME: Refused to display document because display forbidden by X-Frame-Options

最新推荐文章于 2023-07-05 17:58:16 发布
最新推荐文章于 2023-07-05 17:58:16 发布
阅读量9.7k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: ruby 文章标签: rails
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yc1022/article/details/12422871
本文介绍如何在Rails应用中设置X-Frame-Options来增强安全性,包括在layout文件中添加元标签及在控制器中设置HTTP头。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第一步:在layout目录下的application.html.erb文件中添加:
<meta http-equiv="X-Frame-Options" content="GOFORIT">
例如:
<!DOCTYPE html>
<html>
<head>
  <title>电子病历系统</title>
  <%= stylesheet_link_tag    "application", media: "all", "data-turbolinks-track" => true %>
  <%= javascript_include_tag "application", "data-turbolinks-track" => true %>
  <meta http-equiv="X-Frame-Options" content="GOFORIT">
  <%= csrf_meta_tags %>
</head>
<body>

<%= yield %>

</body>
</html>

第二步:在controllers目录下的application_controller.rb添加:

 protect_from_forgery with: :exception
  before_filter :add_xframe
  def add_xframe
    headers['X-Frame-Options'] = 'GOFORIT'
  end

例如: 

class ApplicationController < ActionController::Base
  # Prevent CSRF attacks by raising an exception.
  # For APIs, you may want to use :null_session instead.
  protect_from_forgery with: :exception
  before_filter :add_xframe
  def add_xframe
    headers['X-Frame-Options'] = 'GOFORIT'
  end
end

这样浏览器会报如下警告信息:

'Invalid 'X-Frame-Options' header encountered when loading....GOFORIT' is not a recognized directive. The header will be ignored.

即把‘GOFORIT’换成‘ALLOWALL’就ok了

chrome87版本iframe页面空白_iframe跨域嵌套问题
weixin_36267615的博客
12-27 3750
背景:我们有个奇葩网站,用iframe嵌入了很多友方部门的页面,很多部门设置了X-Frame-Options:deny 导致页面展示不出来,如何让页面展示出来,并且只允许在我们的域名下展示出来呢。先介绍下X-Frame-Options这个header。如果你去查阅相关资料,都会说这个header有三个取值:deny, sameorigin, allow-from https://example....
X-Frame-Options ALLOW-FROM uri 过时导致 Invalid ‘X-Frame-Optionsheader
bikeRiver
06-27 2213
参考资料 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options 解决方案 参考资料 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
JavaScript访问html页面内嵌不同源iframe报错 js: Uncaught SecurityError: Blocked a frame with origin...
tongyi04的博客
07-05 2090
最近遇到一个棘手的bug,App 中有一个网页内嵌了一个iframe,这个iframe一个类似客服机器人聊天窗口的弹出框,嵌在主网页某一个位置,是和主网页不同源的,需要获取iframe中的areatext元素,当用户点击的时候,弹出一个软键盘,供用户输入。 环境: SUSE seld15, QT5.15.0 参考文档: https://javascript.info/cross-window-communication https://developer.mozilla.org/zh-CN/docs/Web
论程序员提问的艺术
web测评
06-15 533
最后得出的结论是,他那个nodejs的项目有些依赖是需要18版本以上的,然而他的电脑系统是win7的,并不支持安装18版本,他又不想重装系统,无奈之下,各种百度,改系统环境变量,帮他绕过win7系统的安全机制,终于把nodejs18版本安装并且把项目运行起来了,最后得到的回报是15块钱的红包,我在公司上班,工作的时薪是125块钱一个小时,而且还经常能摸鱼,帮他解决这个问题时时刻刻在百度搜答案,精神高度紧张,花了将近4个小时弄好了,赚了15块钱,大家对比一下,换做你你愿意做吗?为什么xxx不能xxx。
iframe跨域安全
路过君的博客
08-25 5457
1.响应头X-Frame-Options 响应头X-Frame-Options是用来给浏览器指示允许一个页面可否在<frame>,<iframe>,<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到其他网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 支持的指令 DENY 表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示。
x-editable-rails使用X-Editable帮助器轻松编辑字段
02-01
X :: Editable :: Rails X可编辑的Rails 现场演示 结帐直播演示 安装 将此行添加到您的应用程序的Gemfile中: gem 'x-editable-rails' 然后执行: $ bundle 或自己安装为: $ gem install x-editable-rails 用法...
react-rails-redux-sample:使用redux和react-railsRails应用示例
02-05
react-rails redux示例 这是一个使用react-rails和redux的简单示例应用程序 导轨5.0.0.1 Redux 3.0.4 react-rails 1.10.0 React15.4.1 ...Error while running /home/pavel/projects/react-rails-redux-sa
bootstrap-x-editable-rails-demo:bootstrap-x-editable-rails 的演示
06-09
3.启动Rails # rails server 4.访问 注释 以下文件很有趣 Gemfile app/assets/javascripts/application.js app/assets/stylesheets/application.css app/assets/javascripts/posts.js.coffee app/views/posts/...
openapi-rails-api:示例Rails 5.2 API应用程序,该应用程序使用swagger集成规范和文档。 文档驱动开发的实践
04-27
示例Rails 5.2 Api应用程序尝试将Document-Driven开发方法与OpenAPI以驱动符合json-api规范的api开发 此示例应用程序还将oauth2与doorkeeper结合使用,并将oauth流集成到swagger UI中 运行示例: 运行bin/setup ,...
angular-rails-templates:将角度模板与rails的资产管道一起使用
01-31
然后,在application.js文件中,需要angular-rails-templates和您的模板: //= require angularjs // ... //= require angular-rails-templates // // Templates in app/assets/javascript/templates //= require_...
【应用安全】安全相关的HTTP HEADERS
Fly_鹏程万里
02-22 1284
X-XSS-Protection X-XSS-Protection为浏览器针对XSS攻击的防御机制。 配置如下: 0 禁用过滤器。 1 启用过滤器。 如果检测到跨站点脚本攻击,为了停止攻击,浏览器将清理页面。 1; mode = block启用过滤器。 当检测到XSS攻击时,浏览器将阻止页面的呈现,而不是清理页面。 1; report=http://domain/url 过滤器已启用。 浏览...
解决iframe嵌套第三方网址不能访问
热门推荐
Davi的博客
05-11 3万+
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站的 iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。并隐藏来自该网站的两个响应头:“Content-Security-Policy” 和 “X-Frame-Options”。2.SAMEORIGIN:只允许同源网站嵌入。
html 处理 X-Frame-Options header 漏洞
ying890的专栏
10-01 2526
X-Frame-Options ALLOW-FROM 无效
u013595395的博客
03-23 6925
原因:谷歌浏览器较新版不支持ALLOW-FROM 办法:用另一个响应头Content-Security-Policy代替,配置其中的frame-ancestors netCore写法(Startup.cs) (1)旧 app.Use(async (context, next) => { context.Response.Headers.Add("X-Frame-Options", "ALLOW-FROM http://localhost:8080 http://localhost
360网站安全提示"X-Frame-Options头未设置"怎么解决
QC班长的博客
06-10 2万+
X-Frame-Options 响应头 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frameiframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的i
低危漏洞:X-Frame-Options Header未配置
daisy_sura的博客
01-23 1万+
漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;,&lt;iframe&gt; 或者 &lt;object&gt;中展现的标记。未配置X-Frame-Options的网站,可能有被点击劫持的风险(内容被嵌到别人的网站中去,并在上面加一个透明层,诱导用户点击) X-Frame-Options可选的参数值有三种: DENY S...
使用HTTP响应头X-Frame-Options防止网页被Frame
Just do IT
08-02 2万+
有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设置HTTP头部中的X-Frame-Options信息。 X-Frame-Options 响应头有三个可选的值: DENY:页面不能被嵌入到任何iframeframe中; SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中; ALLOW-FROM:页面允许frameframe加载。
【Nginx】增加X-Frame-Options配置防止页面被嵌套(点击劫持)
姜太小白的博客
05-11 4189
X-Frame-Options X-Frame-Options 有三个值: DENY表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri表示该页面可以在指定来源的 frame 中展示。 nginx配置X-Frame-Options头 配置文件一般在nginx/conf/nginx.conf中 add_header X-Frame-Options SAMEO...
Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】
身后是非的博客
03-14 1万+
X-Frame-Options Header未配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证 背景 最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header未配置 (低危) Web安全漏洞,下面为具体解决方法 漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页...
Rails项目管理应用:rails-address-book的构建与使用
资源摘要信息: "rails-address-book是一个基于Ruby on Rails框架开发的个人账户管理(Account PM)网络应用程序。该项目旨在提供一个简便的方式来跟踪和管理个人账户信息、联系人、项目、任务以及它们之间的连接关系...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值