iframe src URL 加载不正确
iframe src URL not loading correctly
我开发了一个在线支付网关,它通常在 iframe 中加载。现在,iframe src 未在其 cPanel 环境(Linux 服务器)中加载。
我检查了防火墙拒绝 IP 部分,但 IP 没有被服务器列入黑名单。有什么想法吗?
检查请求返回的 HTTP Headers,为此 header:
X-Frame-Options:
如果网站引入了这个 header,其值如下:
X-Frame-Options:同源
它将阻止浏览器加载来自不同域的 iframe。请注意,并非所有浏览器都以相同的方式使用此 header:
https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Browser_Support
所以只需要求管理员将您的域添加到 header 中:
x-frame-options: ALLOW-FROM proto://your-payment.domain
不是 Chrome/Safari 客户的完整解决方案。在这种情况下,您似乎还需要一个特殊的 CSP 旁路。托管组需要向其站点添加一些内容安全策略以允许您的特定框架祖先:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
如果这不是问题,也许 post 更多与信息流相关的 HTTP 信息。
页面和iframe的来源都是https吗? http 页面不会加载 https iframe。
我开发了一个在线支付网关,它通常在 iframe 中加载。现在,iframe src 未在其 cPanel 环境(Linux 服务器)中加载。
我检查了防火墙拒绝 IP 部分,但 IP 没有被服务器列入黑名单。有什么想法吗?
检查请求返回的 HTTP Headers,为此 header:
X-Frame-Options:
如果网站引入了这个 header,其值如下:
X-Frame-Options:同源
它将阻止浏览器加载来自不同域的 iframe。请注意,并非所有浏览器都以相同的方式使用此 header:
https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet#Browser_Support
所以只需要求管理员将您的域添加到 header 中:
x-frame-options: ALLOW-FROM proto://your-payment.domain
不是 Chrome/Safari 客户的完整解决方案。在这种情况下,您似乎还需要一个特殊的 CSP 旁路。托管组需要向其站点添加一些内容安全策略以允许您的特定框架祖先:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
如果这不是问题,也许 post 更多与信息流相关的 HTTP 信息。
页面和iframe的来源都是https吗? http 页面不会加载 https iframe。