不乱于心,不困于情。
不畏将来,不念过往。如此,安好。
当前位置:seo优化_前端开发_渗透技术 > 编程语言 > python > django > 正文

django3 Refused to display 'xxx' in a frame because it set 'X-Frame-Options' to 'deny'.

2021-10-12 分类:django 阅读(285)

背景

使用django3进行开发时,由于项目前端页面使用iframe框架,浏览器错误提示信息如下:

Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'

根据提示信息发现是因为X-Frame-Options=deny导致的。

X-Frame-Options

X-Frame-Options是什么

The X-Frame-Options HTTP 响应头是用来给浏览器 指示允许一个页面 可否在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免点击劫持(clickjacking)攻击。

语法

X-Frame-Options 有三个值:

  • DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许

  • SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示

  • ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示

根据上述 X-Frame-Options的三个值描述,只要修改django的X-Frame-Options为SAMEORIGIN ,那么相同域名页面就可以使用frame中展示。

功能:

点击劫持保护

clickjacking中间件和装饰器提供了易于使用的保护,以防止clickjacking。当恶意站点诱使用户单击他们已加载到隐藏框架或iframe中的另一个站点的隐藏元素时,会发生这种类型的攻击。

点击劫持的例子

假设在线商店有一个页面,已登录的用户可以在该页面上单击“立即购买”来购买商品。为了方便起见,用户选择一直保持登录状态。攻击者站点可能会在自己的一个页面上创建一个“我喜欢小马”按钮,然后将商店的页面加载到透明的iframe中,从而使“立即购买”按钮以不可见的方式覆盖在“我喜欢小马”按钮上。如果用户访问攻击者的网站,则单击“我喜欢小马”会导致无意间单击“立即购买”按钮,并且在不知情的情况下购买了该物品。

防止点击劫持

现代浏览器采用X-Frame-Options HTTP标头,该标头指示是否允许在框架或iframe中加载资源。如果响应包含标头值为的标头,SAMEORIGIN则浏览器将仅在请求源自同一站点时才将资源加载到框架中。如果将标头设置为,DENY则无论哪个站点发出请求,浏览器都将阻止资源加载到框架中。

django设置

在django3.0版本中,默认开启点击劫持保护。Django提供了几种在您的网站响应中包含此标头的方法:

  • 在所有响应中设置标头的中间件。

  • 一组视图装饰器,可用于覆盖中间件或仅为某些视图设置标头。

如果X-Frame-OptionsHTTP头尚未在响应中出现,则仅由中间件或视图装饰器设置。

django默认开启点击劫持保护

设置X-Frame-Options为所有响应

要X-Frame-Options为您站点中的所有响应设置相同的值,请在在setting.py中MIDDLEWARE输入 ‘django.middleware.clickjacking.XFrameOptionsMiddleware’ :

  1. MIDDLEWARE = [
  2.     …
  3.     ‘django.middleware.clickjacking.XFrameOptionsMiddleware’,
  4.     …]

在生成的设置文件中启用了该中间件 startproject。

默认情况下,中间件将为每个outgoing 将X-Frame-Options标头设置 DENY为HttpResponse。

设置允许同域名网站使用frme展示,请进行以下X_FRAME_OPTIONS设置:

X_FRAME_OPTIONS = 'SAMEORIGIN'

指定视图函数不设置X-Frame-Options

  1. from django.http import HttpResponse
  2. from django.views.decorators.clickjacking import xframe_options_exempt
  4. @xframe_options_exempt
  5. def ok_to_load_in_a_frame(request):
  6.     return HttpResponse(“This page is safe to load in a frame on any site.”)

指定视图函数设置X-Frame-Options

Django提供了以下装饰器:

  1. from django.views.decorators.clickjacking import xframe_options_deny
  2. from django.views.decorators.clickjacking import xframe_options_sameorigin
  4. @xframe_options_deny
  5. def view_one(request):
  6.     return HttpResponse(“I won’t display in any frame!”)
  8. @xframe_options_sameorigin
  9. def view_two(request):
  10.     return HttpResponse(“Display in a frame if it’s from the same origin as me.”)

注解

如果要提交表单或访问框架或iframe中的会话cookie,则可能需要修改CSRF_COOKIE_SAMESITE或 SESSION_COOKIE_SAMESITE设置。

解决方法

X_FRAME_OPTIONS = 'SAMEORIGIN'
赞(0) 打赏
未经允许不得转载:seo优化_前端开发_渗透技术 » django3 Refused to display 'xxx' in a frame because it set 'X-Frame-Options' to 'deny'.
标签:

hush

相关推荐

  • 暂无文章

热门文章

热门搜索

Powershell (78)metasploit (46)python (31)seo (24)seo技巧 (24)seo优化 (23)wordpress (23)web渗透 (19)渗透测试 (18)seo策略 (17)web安全 (12)内网渗透 (12)mysql (11)信息收集 (10)sql注入 (9)git (8)php (7)ubuntu (7)kali (6)selenium (6)waf (5)sqlmap (4)composer (4)laravel (4)linux提权 (4)代码审计 (4)dedecms (3)渗透 (3)seo学习 (3)nmap (3)
SEO推荐

seo超级工具

可能很多第一次使用外链工具的站长朋友们都会担心同一个问题,就是会不会被百度K站、降权等风险?其实大家只要了解此类工具批量增加外链的原理就不会担心这个问题。

此类工具的原理其实非常简单,网络上几乎所有的网站查询工具(例如爱站网、去查网和站长工具)都会留下查询网站的外链。你要是把网络上的每一个工具站都去查询一遍,就能为查询的网站建设大量的外链。

外链工具正是利用这个原理,免除你手动去访问每一个工具站查询,利用收集到的工具站列表,在线自动为你的网站查询。这种方法建设的外链是正规有效的,所以不必担心被K站和降权的风险。

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏