asp.net mvc應用程序中的默認策略是什麼? CORS和X-Frame-Options如何關聯?MVC中的同源策略/ CORS 5
如果我在端口上創建一個新的MVC Web應用程序(託管在IIS中) 21232,我將一個iframe添加到索引視圖,其源設置爲我的本地IIS,例如
<iframe src="http://localhost/iisstart.htm" width="800" height="100"/>
這工作正常(即使在不同的Web應用程序端口上)。
如果我現在將iframe源更改爲完全外部的內容,例如
<iframe src="http://www.google.com" width="800" height="100"/>
現在顯示一個空的iframe。如果我看在Chrome瀏覽器開發工具(瀏覽器在這兩個例子中使用),我看到一個錯誤在控制檯
拒絕在該框架中顯示「https://www.google.co.uk」,因爲它設置「X-框架 - 選項」到「SAMEORIGIN 」。
- 爲什麼第一個URL時的工作地址是不同的端口託管網頁上?
- X-Frame-Options與CORS的關係如何?我嘗試添加以下到我的web.config(見參考文獻enable cors in IIS)
<add name="Access-Control-Allow-Origin" value="*" />
這沒有什麼區別。看來,如果我需要添加以下到的Application_Start中的global.asax.cs
AntiForgeryConfig.SuppressXFrameOptionsHeader = true;
是X框 - 選項專門IFRAME有關?
好的,謝謝,我明白了,因此SuppressXFrameOptionsHeader只是爲了讓我的網站能夠在iframe中託管。感謝您的澄清。 – obaylis
認爲一個混淆之處是我想要訪問/編輯JavaScript中的iframe內容。按照http://stackoverflow.com/questions/2689984/javascript-and-same-origin-iframes。似乎在這裏你需要遵守相同的原產地政策。 – obaylis