Django 出現(xiàn) frame because it set X-Frame-Options to deny 錯誤

一、背景

---

使用django3 進行開發(fā)時，由于項目前端頁面使用iframe框架，瀏覽器錯誤提示信息如下

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴，公司提供的服務項目有：主機域名、網(wǎng)絡空間、營銷軟件、網(wǎng)站建設、古交網(wǎng)站維護、網(wǎng)站推廣。

Refused to display 'http://127.0.0.1:8000/' in a frame because it set 'X-Frame-Options' to 'deny'.

根據(jù)提示信息發(fā)現(xiàn)是因為 X-Frame-Options=deny 導致的。

二、X-Frame-Options

---

1 X-Frame-Options是什么

The X-Frame-Options HTTP 響應頭是用來給瀏覽器 指示允許一個頁面 可否在<frame>,<iframe>,<embed>或者<object>中展現(xiàn)的標記。站點可以通過確保網(wǎng)站沒有被嵌入到別人的站點里面，從而避免點擊劫持（clickjacking）攻擊。

2語法

X-Frame-Options 有三個值：

• DENY ：表示該頁面不允許在 frame 中展示，即便是在相同域名的頁面中嵌套也不允許

• SAMEORIGIN ：表示該頁面可以在相同域名頁面的 frame 中展示

• ALLOW-FROM uri ：表示該頁面可以在指定來源的 frame 中展示

根據(jù)上述 X-Frame-Options的三個值描述，只要修改django的X-Frame-Options為SAMEORIGIN ，那么相同域名頁面就可以使用frame中展示。

3功能

• 點擊劫持保護

clickjacking中間件和裝飾器提供了易于使用的保護，以防止clickjacking。當惡意站點誘使用戶單擊他們已加載到隱藏框架或iframe中的另一個站點的隱藏元素時，會發(fā)生這種類型的攻擊。

• 防止點擊劫持

現(xiàn)代瀏覽器采用X-Frame-Options HTTP標頭，該標頭指示是否允許在框架或iframe中加載資源。如果響應包含標頭值為的標頭，SAMEORIGIN則瀏覽器將僅在請求源自同一站點時才將資源加載到框架中。如果將標頭設置為，DENY則無論哪個站點發(fā)出請求，瀏覽器都將阻止資源加載到框架中。

三、在Django 中設置

---

在django3.0 版本中，默認開啟點擊劫持保護。Django 提供了幾種在您的網(wǎng)站響應中包含此標頭的方法：

• 在所有響應中設置標頭的中間件。

• 一組視圖裝飾器，可用于覆蓋中間件或僅為某些視圖設置標頭。

如果 X-Frame-OptionsHTTP 頭尚未在響應中出現(xiàn)，則僅由中間件或視圖裝飾器設置。

Django默認開啟點擊劫持保護

設置X-Frame-Options為所有響應

要X-Frame-Options為您站點中的所有響應設置相同的值，請在 setting.py中 MIDDLEWARE 輸入 'django.middleware.clickjacking.XFrameOptionsMiddleware'

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

在生成的設置文件中啟用了該中間件 startproject。

默認情況下，中間件將為每個outgoing將X-Frame-Options標頭設置DENY為HttpResponse。

1 設置允許同域名網(wǎng)站使用frme展示

默認情況下，中間件將為每個出站的HttpResponse將X-Frame-Options頭設置為DENY。

如果您希望此標頭的任何其他值，請設置X_FRAME_OPTIONS設置

# settings.py
X_FRAME_OPTIONS = 'SAMEORIGIN'

本文題目：Django 出現(xiàn) frame because it set X-Frame-Options to deny 錯誤
文章鏈接：http://m.kartarina.com/article4/dsogsoe.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站建設、移動網(wǎng)站建設、響應式網(wǎng)站、python、面包屑導航、網(wǎng)頁設計公司

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)