亚洲AV无码乱码在线观看性色,免费无码又爽又刺激高潮视频,用你的指尖扰乱我下一部动漫,人妻AV中文系列,人妻熟妇女的欲乱系列

Django 出現(xiàn) frame because it set X-Frame-Options to deny 錯(cuò)誤

時(shí)間:2023-06-29 22:04:34 類型:python
字號(hào):    

1, 使用 django 進(jìn)行開發(fā)時(shí),由于項(xiàng)目前端頁面使用iframe框架,瀏覽器錯(cuò)誤提示信息如下

Refused to display 'http://127.0.0.1:8000/' in a frame because it set 'X-Frame-Options' to 'deny'.

 根據(jù)提示信息發(fā)現(xiàn)是因?yàn)?X-Frame-Options=deny 導(dǎo)致的。

二、X-Frame-Options

1 X-Frame-Options是什么

The X-Frame-Options HTTP 響應(yīng)頭是用來給瀏覽器 指示允許一個(gè)頁面 可否在 <frame><iframe>,<embed> 或者 <object>中展現(xiàn)的標(biāo)記。站點(diǎn)可以通過確保網(wǎng)站沒有被嵌入到別人的站點(diǎn)里面,從而避免點(diǎn)擊劫持(clickjacking)攻擊。

語法

X-Frame-Options 有三個(gè)值:

根據(jù)上述 X-Frame-Options的三個(gè)值描述,只要修改django的X-Frame-Options為SAMEORIGIN ,那么相同域名頁面就可以使用frame中展示。

功能

clickjacking中間件和裝飾器提供了易于使用的保護(hù),以防止clickjacking。當(dāng)惡意站點(diǎn)誘使用戶單擊他們已加載到隱藏框架或iframe中的另一個(gè)站點(diǎn)的隱藏元素時(shí),會(huì)發(fā)生這種類型的攻擊。

現(xiàn)代瀏覽器采用X-Frame-Options HTTP標(biāo)頭,該標(biāo)頭指示是否允許在框架或iframe中加載資源。如果響應(yīng)包含標(biāo)頭值為的標(biāo)頭,SAMEORIGIN則瀏覽器將僅在請(qǐng)求源自同一站點(diǎn)時(shí)才將資源加載到框架中。如果將標(biāo)頭設(shè)置為,DENY則無論哪個(gè)站點(diǎn)發(fā)出請(qǐng)求,瀏覽器都將阻止資源加載到框架中。

 

三、在Django 中設(shè)置

在django3.0 版本中,默認(rèn)開啟點(diǎn)擊劫持保護(hù)。Django 提供了幾種在您的網(wǎng)站響應(yīng)中包含此標(biāo)頭的方法:

如果 X-Frame-OptionsHTTP 頭尚未在響應(yīng)中出現(xiàn),則僅由中間件或視圖裝飾器設(shè)置。

Django默認(rèn)開啟點(diǎn)擊劫持保護(hù)

設(shè)置X-Frame-Options為所有響應(yīng)

要X-Frame-Options為您站點(diǎn)中的所有響應(yīng)設(shè)置相同的值,請(qǐng)?jiān)?nbsp;setting.py 中 MIDDLEWARE 輸入 'django.middleware.clickjacking.XFrameOptionsMiddleware'

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
]

在生成的設(shè)置文件中啟用了該中間件 startproject。

默認(rèn)情況下,中間件將為每個(gè)outgoing 將X-Frame-Options標(biāo)頭設(shè)置 DENY為HttpResponse。

1 .  設(shè)置允許同域名網(wǎng)站使用frme展示

默認(rèn)情況下,中間件將為每個(gè)出站的HttpResponse將X-Frame-Options頭設(shè)置為DENY。

如果您希望此標(biāo)頭的任何其他值,請(qǐng)?jiān)O(shè)置X_FRAME_OPTIONS設(shè)置

X_FRAME_OPTIONS = 'SAMEORIGIN'

2 指定視圖函數(shù)不設(shè)置 X-Frame-Options

from django.shortcuts import render
from django.views.decorators.clickjacking import xframe_options_exempt


@xframe_options_exempt
def index(request):
    if request.method == "GET":

3 指定視圖函數(shù)設(shè)置 X-Frame-Options

from django.shortcuts import render
from django.views.decorators.clickjacking import xframe_options_deny, xframe_options_sameorigin


@xframe_options_deny
def index(request):
    if request.method == "GET":

@xframe_options_sameorigin
def center(request):
    if request.method == "GET":


<