如何绕过 X-Frame-Options: SAMEORIGIN HTTP 标头？

Question

我正在开发一个网页，需要在 iframe 中显示由另一家公司的 SharePoint 服务器提供的报表。他们对此很满意。

我们尝试在 iframe 中渲染的页面为我们提供了 X-Frame-Options: SAMEORIGIN ，这会导致浏览器（至少 IE8）拒绝渲染框架中的内容。

首先，这是他们可以控制的事情还是 SharePoint 默认情况下所做的事情？如果我要求他们关掉这个功能，他们能做到吗？

其次，我可以做些什么来告诉浏览器忽略这个 http 标头并只渲染框架吗？

Answer 1

至于第二个问题 - 您可以使用 Fiddler 过滤器来设置响应 X-Frame-Options 标头手动更改为 ALLOW-FROM * 之类的内容。但是，当然，这个技巧只对您有效 - 其他用户仍然无法看到 iframe 内容（如果他们不这样做）。

Answer 2

是的，Fiddler 对我来说是一个选项：

1. 打开 Fiddler 菜单 >规则>自定义规则（这会有效地编辑CustomRules.js）。
2. 找到函数OnBeforeResponse

3. 添加以下行：

   oSession.oResponse.headers.Remove("X-Frame-Options");
   oSession.oResponse.headers.Add("Access-Control-Allow-Origin", "*");
   

4. 记住保存脚本！

Answer 3

X-Frame-Options 标头是在浏览器级别强制执行的安全功能。

如果您可以控制您的用户群（公司应用程序的IT部门），您可以尝试类似greasemonkey脚本的东西（如果您可以a）在每个人中部署greasemonkey并b）以共享方式部署您的脚本）...

或者，你可以代理他们的结果。在您的服务器上创建一个端点，并让该端点打开与目标端点的连接，然后简单地向后传输流量。

Answer 4

如果第二家公司很高兴您在 IFrame 中访问他们的内容，那么他​​们需要取消限制 - 他们可以在 IIS 配置中相当轻松地做到这一点。

您无法采取任何措施来规避它，并且任何有效的措施都应该在安全修补程序中快速修复。如果源内容标头表示框架中不允许，则您无法告诉浏览器仅渲染框架。这将使会话劫持变得更容易。

如果内容只是 GET，您不回发数据，那么您可以获取页面服务器端并代理没有标头的内容，但任何回发都应该无效。

Answer 5

更新：2019-12-30

这个工具似乎不再起作用了！ [请求更新！]

更新 2019-01-06： 您可以绕过 X-Frame-Options使用我的 X-Frame-Bypass< 的 /strong> Web 组件。它通过使用多个 CORS 代理来扩展 IFrame 元素，并在最新的 Firefox 和 Chrome 中进行了测试。

您可以按如下方式使用它：

1. （可选）包含 带有内置扩展 polyfill 的自定义元素 对于 Safari：

   ;
   

2. 包含 X-Frame-Bypass JS 模块：

   ;
   

3. 插入 X-Frame-Bypass 自定义元素：