问题描述
我正在尝试嵌入或获取https网站的内容,并且已经尝试了一些方法:
-
iframe-禁止: [错误]拒绝在框架中显示“ https://任何URL?width = 100?data = data”,因为它将“ x-frame-options”设置为“ SAMEORIGIN”。
有什么办法,我怎么能做到这一点?我已经阅读了许多旧文章,这是可能的,但是我认为所有这些文章都已弃用。我可以以某种方式代理网站吗?
感谢您的帮助!
解决方法
出于各种安全原因,浏览器遵守Web资源响应上标头中所述的指令(例如,X-Frame-Options标头可防止在iframe中加载)。
您可能会发现有这些限制的旧绕过方法最终将被阻止,因为它们被视为安全漏洞。
请注意,这些是客户端限制。我认为,涉及特殊客户端或忽略这些限制标头的服务的方法,可能是解决问题的正确方法。这完全取决于您要实现的目标(仅显示受保护的页面内容?允许用户与页面进行交互?用户可以登录受保护的网站?等)。
例如,一个Web服务可获取一个页面并将其提供给发出请求的客户端,而没有限制的标题。
这种方法不是防弹的-您可能需要在HTML中重写资源的URL,处理cookie,阻止javascript代码检测页面是否位于iframe中等等。