如何允許 iFrame 中的特定頁面 - ASP.NET 核心
[英]How to allow specific page in an iFrame - ASP.NET Core
問題描述
我們正在開發一個 web 項目(ASP.NET Core 3.1)。 我們要求只允許從跨域打開 iframe 中的特定頁面。 不應通過 iFrame 訪問所有其他頁面。
我們嘗試了以下幾種方法:
- 我們嘗試使用中間件從 header 中刪除
X-Frame-Options: SAMEORIGIN。
public async Task Invoke(HttpContext context)
{
context.Response.OnStarting((state) =>
{
_headersToRemove.ForEach(header =>
{
if (context.Response.Headers.ContainsKey(header))
{
context.Response.Headers.Remove(header);
}
});
return Task.FromResult(0);
}, null);
await next.Invoke(context);
}
但是,在中間件中沒有得到服務器標頭(X-Frame-Options)。
- 我們使用了內容安全策略
<add name="Content-Security-Policy" value="frame-ancestors 'self' *.website.com" />
這適用於指定的域,但是,它允許在 iframe 中加載所有頁面。
- 我們已嘗試從
web.config文件中刪除X-Frame-Optionsheader
<add name="X-Frame-Options" value="SAMEORIGIN" />
- 我們試圖抑制
X-Frame-Optionsheader,但它允許所有域
public static void AddAntiForgery(this IServiceCollection services)
{
services.AddAntiforgery(options =>
{
options.Cookie.SecurePolicy = CookieSecurePolicy.SameAsRequest;
options.Cookie.HttpOnly = true;
options.Cookie.Name = "_app";
options.Cookie.SameSite = SameSiteMode.Strict;
options.SuppressXFrameOptionsHeader = true;
});
}
所以,問題是,我們如何才能只允許跨域的 iframe 中的單個頁面/特定頁面?
2 個解決方案
解決方案1
0 2021-11-25 11:42:28
您只能將[EnableCors]屬性用於特定的 controller 方法,而不是全局應用它: https://docs.microsoft.com/en-us/aspnet/web-api/overview/security/enabling-cross-origin-請求-in-web-api#scope-rules-for-enablecors
解決方案2
0 2021-11-26 08:24:17
我們嘗試了幾種不同的方法並提出了解決方案。
首先,需要從 web 配置文件中刪除<add name="X-Frame-Options" value="SAMEORIGIN" /> 。
其次,以編程方式為所有需要在 iFrame 中打開的請求頁面添加X-Frame-Options 。
app.UseWhen(context => !context.Request.Path.StartsWithSegments("/controller/action"), appBuilder =>
{
appBuilder.Use(async (context, next) =>
{
context.Response.Headers.Add("X-Frame-Options", "SAMEORIGIN");
await next();
});
});
ASP.NET Core MVC相當於Start Action Specific Page
[英]ASP.NET Core MVC equivalent of Start Action Specific Page
ASP.NET Core(Razor 頁面) - 如何在(客戶端的)特定文件夾中下載文件
[英]ASP.NET Core (Razor page) - how to download a file in a specific folder (of the client)
允許在特定的ASP.NET Core控制器上進行跨站點發布請求
[英]Allow cross site post request on specific ASP.NET Core controller
ASP.Net Core - Razor WebApp - 頁面包含 IFrame 時的奇怪行為
[英]ASP.Net Core - Razor WebApp - strange behavior when Page contains an IFrame
如何在ASP.NET Core MVC中顯示特定的ModelState錯誤?
[英]How to display specific ModelState errors in ASP.NET Core MVC?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何保證iframe加載到ASP.Net Core Razor
如何在 ASP.NET 核心 Controller 上允許 /(斜線)?
ASP.NET Core MVC相當於Start Action Specific Page
在 ASP.NET Core 中允許 Cors Origin
ASP.NET Core(Razor 頁面) - 如何在(客戶端的)特定文件夾中下載文件
允許在特定的ASP.NET Core控制器上進行跨站點發布請求
ASP.Net Core - Razor WebApp - 頁面包含 IFrame 時的奇怪行為
如何在ASP.Net Core中創建特定的URL
如何在ASP.NET Core MVC中顯示特定的ModelState錯誤?
如何在 asp.net core 中注入特定的實現
相關標簽