删除仅在“登录”页面中自动添加的X-Frame-Options

Question

我正在开发一个ASP.NET MVC应用程序，需要在另一个网站的iframe中加载。 但是登录页面不会出现在iframe因为正在响应X-Frame-Options发送Header，并将其设置为SAMEORIGIN 。 因此，浏览器不会在iframe显示页面。 我已经谷歌搜索并尝试了多项但没有任何效果。

我正在使用ASP.NET表单身份验证。 可能在这种情况下，IIS在登录页面中添加此标头以增加安全性。 但我需要在我的用例中摆脱这种情况。

我尝试添加自定义标头

<httpProtocol>
  <customHeaders>
    <add name="X-Frame-Options" value="ALLOW" />
  </customHeaders>
</httpProtocol>

但是SAMEORGIN仍然用逗号添加到标题中。

我还尝试使用Response.Headers["X-Frame-Options"] = "ALLOW"从C＃添加Header值。 它会导致两个标题具有相同的名称。

我也在web.config中尝试过这个

<customHeaders>
    <remove name="X-Frame-Options" />
</customHeaders>

它也没有奏效。

Answer 1

MVC 5自动添加一个X-Frame-Options标头，所以转到你的Global.asax文件并将其添加到Application_Start()方法：

System.Web.Helpers.AntiForgeryConfig.SuppressXFrameOptionsHeader = true;

请注意，特别是对于登录页面，删除此标题是不好的做法，因为它会打开您的站点以获取登录凭据网络钓鱼攻击。 因此，如果您的这个网站是公开可访问的，我强烈建议保留此标题。

Answer 2

旧问题，但对于搜索类似问题的其他人，您可以使用以下解决方案删除特定操作中的X-Frame-Options ：

首先，将此代码添加到Global.asax.cs方法Application_Start （正如@Florian Haider所说）：

System.Web.Helpers.AntiForgeryConfig.SuppressXFrameOptionsHeader = true;

这将抑制所有操作中的标头。 添加一个名为NoIframeAttribute.cs的新文件， NoIframeAttribute.cs包含以下代码：

using System.Web.Mvc;

namespace MyApplication
{
    public class NoIframeAttribute : ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            filterContext.HttpContext.Response.Headers.Set("X-Frame-Options", "SAMEORIGIN");
        }
    }
}

将以下行添加到FilterConfig.cs RegisterGlobalFilters方法：

filters.Add(new NoIframeAttribute());

现在，我们再次将标题添加到所有操作中。 但现在我们可以在需要时将其删除。 只需在需要的地方添加以下行：

Response.Headers.Remove("X-Frame-Options");