[英]Removing X-Frame-Options being added automatically only in Login page
我正在开发一个ASP.NET MVC应用程序,需要在另一个网站的iframe
中加载。 但是登录页面不会出现在iframe
因为正在响应X-Frame-Options
发送Header,并将其设置为SAMEORIGIN
。 因此,浏览器不会在iframe
显示页面。 我已经谷歌搜索并尝试了多项但没有任何效果。
我正在使用ASP.NET表单身份验证。 可能在这种情况下,IIS在登录页面中添加此标头以增加安全性。 但我需要在我的用例中摆脱这种情况。
我尝试添加自定义标头
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="ALLOW" />
</customHeaders>
</httpProtocol>
但是SAMEORGIN
仍然用逗号添加到标题中。
我还尝试使用Response.Headers["X-Frame-Options"] = "ALLOW"
从C#添加Header值。 它会导致两个标题具有相同的名称。
我也在web.config中尝试过这个
<customHeaders>
<remove name="X-Frame-Options" />
</customHeaders>
它也没有奏效。
MVC 5自动添加一个X-Frame-Options标头,所以转到你的Global.asax
文件并将其添加到Application_Start()
方法:
System.Web.Helpers.AntiForgeryConfig.SuppressXFrameOptionsHeader = true;
请注意,特别是对于登录页面,删除此标题是不好的做法,因为它会打开您的站点以获取登录凭据网络钓鱼攻击。 因此,如果您的这个网站是公开可访问的,我强烈建议保留此标题。
旧问题,但对于搜索类似问题的其他人,您可以使用以下解决方案删除特定操作中的X-Frame-Options
:
首先,将此代码添加到Global.asax.cs
方法Application_Start
(正如@Florian Haider所说):
System.Web.Helpers.AntiForgeryConfig.SuppressXFrameOptionsHeader = true;
这将抑制所有操作中的标头。 添加一个名为NoIframeAttribute.cs
的新文件, NoIframeAttribute.cs
包含以下代码:
using System.Web.Mvc;
namespace MyApplication
{
public class NoIframeAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
filterContext.HttpContext.Response.Headers.Set("X-Frame-Options", "SAMEORIGIN");
}
}
}
将以下行添加到FilterConfig.cs
RegisterGlobalFilters
方法:
filters.Add(new NoIframeAttribute());
现在,我们再次将标题添加到所有操作中。 但现在我们可以在需要时将其删除。 只需在需要的地方添加以下行:
Response.Headers.Remove("X-Frame-Options");
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.