У нас есть страница веб-сайта IIS7, доступ к которой осуществляется через сторонний веб-сайт через iframe. До нескольких дней он работал нормально go со следующей ошибкой от Chrome:
Отказал отображать 'https://xxxxxxxx' в кадре, потому что это установите 'X-Frame-Options' в 'deny'.
Edge сообщает о несколько иной ошибке, но, по сути, сообщает о невозможности доступа к шрифтам на этом целевом веб-сайте.
Теперь я проверил файл web.config, и нет никакого пользовательского заголовка с установленным 'x-frame-options', но у нас действительно есть заголовок 'x-xss-protection', который установлен в '1; Режим = блок». Я попытался удалить блок
X-XSS-Protection 1;
, но затем я получил:
Не удалось загрузить ресурс: сервер ответил со статусом 400 ( Неверный запрос)
Я также полностью удаляю весь заголовок x-xss, что возвращает меня к исходному сообщению. Затем я вручную добавляю
X-Frame-Options Allow-From https://xxxxxx
Отказался отображать 'https://xxxxxx' во фрейме, поскольку он установил несколько заголовков 'X-Frame-Options' с конфликтующими значениями ( «ОТКАЗ, разрешение - от https://xxxxxx»). Отступаем к «отрицать».
Есть идеи, откуда берется опция x-frame-options, от которой отказывается? Я загрузил web.config в редактор, и он определенно не находит там этот заголовок.
Предоставлено Lex Li, я включил отслеживание Failed Request и обнаружил это в журналах:
Но откуда он ссылается на опции x-frame-option? Заголовок Set-Cook ie также не существует в моем web.config, поэтому он должен быть в другом месте.
Спасибо