有没有客户端方法来检测 X-Frame-Options?

Is there a client-side way to detect X-Frame-Options?

提问人:Newtang 提问时间:10/31/2011 更新时间:5/2/2017 访问量:27925

问:

有没有什么好的方法可以检测页面何时由于 X-Frame-Options 标头而无法显示在框架中?我知道我可以在服务器端请求页面并查找标题,但我很好奇浏览器是否有任何机制来捕获此错误。

javascript html 浏览器 框架 x-frame-options

评论

5赞 bernie cc 11/16/2011
据我所知,经过一些研究,目前无法从客户端找到它。我尝试使用“受保护”的 URL 加载 iFrame src,用 try/catch 包装它,但它不起作用。如果您碰巧找到了解决方案,请分享。谢谢。
1赞 Newtang 7/7/2012
我为此启动了一个 Webkit 错误。bugs.webkit.org/show_bug.cgi?id=90660
2赞 Gil Epshtain 10/26/2020
下面的所有答案都是错误的!由于策略,您不能使用 XHR 请求和读取标头。您不能使用 或 ,在许多情况下,它们是 null。我不知道解决方案是什么,但我测试了下面的所有答案,但没有一个有效。Same-originframe.contentWindowframe.contentDocument

答:

1赞 Newtang 11/21/2011 #1

我唯一能想到的就是代理 url 的 AJAX 请求,然后查看标头,如果它没有 X-Frame-Options,则在 iframe 中显示它。远非理想,但总比没有好。

评论

4赞 Ben Clayton 11/29/2011
不幸的是,跨域问题将阻止它工作。当然,除非你能找到或让自己成为一个复制标题的代理。
1赞 Newtang 11/30/2011
是的,你说得完全正确;我愚蠢的疏忽。我更新了我的答案。感谢您指出这一点!
0赞 NoBugs 6/24/2016
这可能是最接近答案的事情,尽管不知道代理位置是否被该服务阻止,或者用户是否可能登录到该站点,在这种情况下,他们无法发送该标头。这也可能会使所有在加载之前以这种方式检查的请求,由于它是由代理请求的,因此速度慢了一倍以上。
0赞 apenwarr 2/13/2012 #2

至少在 Chrome 中,您可以注意到加载失败,因为 iframe.onload 事件未触发。您可以将其用作页面可能不允许 iframing 的指示器。

评论

6赞 Belladonna 9/7/2013
Chrome 现在确实会触发它。
7赞 BiAiB 4/20/2012 #3

免责声明:我在 2012 年写的这个答案(当时 Chrome 是 ~20 版本)已经过时了,我将保留在这里仅用于历史目的。阅读和使用风险自负。

好吧,这是一个有点老的问题,但这是我发现的 Chrome/Chromium 的完整答案(这不是一个完整的答案)。

检测指向外部地址的帧是否已加载的方法只是尝试访问其 contentWindow 或文档。

这是我使用的代码:

element.innerHTML = '<iframe class="innerPopupIframe" width="100%" height="100%" src="'+href+'"></iframe>';
myframe = $(element).find('iframe');

然后,稍后:

try {
    var letstrythis = myframe.contentWindow;
} catch(ex) {
    alert('the frame has surely started loading');
}

事实是,如果 X-Frame-Options 禁止访问,那么就可以访问了。myFrame.contentWindow

这里的问题是我所说的“然后,以后”。我还没有弄清楚该依靠什么,什么时候是执行测试的好时机来寻找哪个事件。

评论

11赞 Kushagra Gour 9/7/2013
这不再起作用。访问 contentWindow 不会引发异常。
13赞 Iftach 2/18/2014 #4

好吧,这个很旧,但仍然相关。

事实:当 iframe 加载被 X-Frame-Options 阻止的 url 时,加载时间非常短。

砍:因此,如果加载立即发生,我知道这可能是 X-Frame-Options 问题。

免責聲明:这可能是我写过的“最黑客”的代码之一,所以不要期望太多:

var timepast=false; 
var iframe = document.createElement("iframe");

iframe.style.cssText = "position:fixed; top:0px; left:0px; bottom:0px; right:0px; width:100%; height:100%; border:none; margin:0; padding:0; overflow:hidden; z-index:999999;";
iframe.src = "http://pix.do"; // This will work
//iframe.src = "http://google.com"; // This won't work
iframe.id = "theFrame";

// If more then 500ms past that means a page is loading inside the iFrame
setTimeout(function() {
    timepast = true;
},500);

if (iframe.attachEvent){
    iframe.attachEvent("onload", function(){
    if(timepast) {
            console.log("It's PROBABLY OK");
        }
        else {
            console.log("It's PROBABLY NOT OK");
        }
    });
} 
else {
    iframe.onload = function(){
        if(timepast) {
            console.log("It's PROBABLY OK");
        }
        else {
            console.log("It's PROBABLY NOT OK");
        }
    };
}
document.body.appendChild(iframe);

评论

10赞 user1600124 9/30/2014
如果客户端的连接一开始就具有糟糕的延迟,则非常不可靠。
0赞 Nico Andrade 6/22/2016
这里有一堆要提的东西。是的,由于速度的原因,它不可靠(即 500 毫秒,可能是 1000 毫秒还是 200 万毫秒?这取决于连接速度。为此,您可能需要做一些技巧:例如,预加载 DNS。或者点击一个单独的页面,跟踪加载所需的时间,并根据该时间将 500 毫秒设置为 1 小时或 100 毫秒。接下来的事情是,如果页面没有加载,你仍然不知道它是否是因为 X-Frame-Options 标头。你只知道它没有加载,这可能就是你需要知道的全部。
-2赞 Sivakumar Sundaresan 7/19/2015 #5

这可以通过以下方式实现

a) 通过 CreateElement 创建新的 IFrame

b) 将其显示设置为“无”

c) 通过 src 属性加载 URL

d) 为了等待 iframe 加载,请使用 SetTimeOut 方法延迟函数调用(我已将调用延迟了 10 秒)

e) 在该函数中,检查 ContentWindow 长度。

f) 如果长度> 0,则加载 url,否则由于 X-Frame-Options 而不加载 URL

示例代码如下:

function isLoaded(val) {
var elemId = document.getElementById('ctlx');
if (elemId != null)
    document.body.removeChild(elemId);


var obj= document.createElement('iframe');

obj.setAttribute("id", "ctlx");

obj.src = val;
obj.style.display = 'none';

document.body.appendChild(obj);

setTimeout(canLoad, 10000);  

}

function canLoad() {
//var elemId = document.getElementById('ctl100');
var elemId = document.getElementById('ctlx');
if (elemId.contentWindow.length > 0) {
    elemId.style.display = 'inline';

}

else {
    elemId.src = '';
    elemId.style.display = 'none';
    alert('not supported');
}
}
-1赞 Aditya Gupta 6/22/2016 #6

这就是我检查X-Frames-Options以满足我的要求之一的方式。在加载 JSP 页面时,可以使用 AJAX 向特定 URL 发送异步请求,如下所示:

var request = new XMLHttpRequest();
request.open('GET', <insert_URL_here>, false);
request.send(null);

完成此操作后,您可以按如下方式读取收到的响应标头:

var headers = request.getAllResponseHeaders();

然后,您可以遍历它以找出 X-Frames-Options 的值。一旦你有了这个值,你就可以在适当的逻辑中使用它。

评论

3赞 Newtang 6/23/2016
同源策略将阻止您请求任何任意 URL。除非 Access-Control-Allow-Origin: * 是不太可能的标头。
0赞 Aditya Gupta 6/23/2016
我对此表示怀疑。我记得我曾将它用于我应该在我的项目中修复的一个错误。该错误涉及打开外部链接。因此,我们必须以某种方式确定链接是否可以在 iframe 中打开(如果不能,我们必须在新选项卡中打开它)。这与我所做的事情相同,截至目前,它仍然是一个可以接受的解决方案。当然,项目特定的东西可能会出现。
2赞 NoBugs 6/24/2016
事实上,鉴于任何任意网站网址,它都不起作用:Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://www.openstreetmap.org/. (Reason: CORS header 'Access-Control-Allow-Origin' missing).
2赞 dvdsmpsn 6/23/2016 #7

这是基于 @Iftach 的回答,但稍微不那么棘手。

它会检查这是否表明 iframe 已成功加载。iframe.contentWindow.length > 0

此外,它还会检查 iframe 事件是否在 5 秒内触发,并发出警报。这捕获了混合内容加载失败的情况(尽管以一种黑客的方式)。onload

var iframeLoaded = false;
var iframe = document.createElement('iframe');

// ***** SWAP THE `iframe.src` VALUE BELOW FOR DIFFERENT RESULTS ***** //
// iframe.src = "https://davidsimpson.me"; // This will work
iframe.src = "https://google.com"; // This won't work

iframe.id = 'theFrame';
iframe.style.cssText = 'position:fixed; top:40px; left:10px; bottom:10px;'
 + 'right:10px; width:100%; height:100%; border:none; margin:0; padding:0; overflow:hidden; z-index:999999;';

var iframeOnloadEvent = function () {
    iframeLoaded = true;
  var consoleDiv = document.getElementById('console');
    if (iframe.contentWindow.length > 0) {
    consoleDiv.innerHTML = '✔ Content window loaded: ' + iframe.src;
    consoleDiv.style.cssText = 'color: green;'
    } else {
    consoleDiv.innerHTML = '✘ Content window failed to load: ' + iframe.src;
    consoleDiv.style.cssText = 'color: red;'
    }
} 

if (iframe.attachEvent){
    iframe.attachEvent('onload', iframeOnloadEvent);
} else {
    iframe.onload = iframeOnloadEvent;
}
document.body.appendChild(iframe);

// iframe.onload event doesn't trigger in firefox if loading mixed content (http iframe in https parent) and it is blocked.
setTimeout(function () {
    if (iframeLoaded === false) {
        console.error('%c✘ iframe failed to load within 5s', 'font-size: 2em;');
    consoleDiv.innerHTML = '✘ iframe failed to load within 5s: ' + iframe.src;
    consoleDiv.style.cssText = 'color: red;'    
  }
}, 5000);

现场演示在这里 - https://jsfiddle.net/dvdsmpsn/7qusz4q3/ - 因此您可以在相关浏览器中进行测试。

在撰写本文时,它适用于 Chrome、Safari、Opera、Firefox、Vivaldi 和 Internet Explorer 11 上的当前版本。我没有在其他浏览器中测试过它。

评论

0赞 NoBugs 6/24/2016
我将该小提琴中的 src 更改为可 iframe 的“basicinstructions.net”,但它仍然会在 5 秒后出现错误加载。也许是因为我没有超高速互联网?
0赞 NoBugs 6/24/2016
为什么?它是可 iframe的,没有 X-Frame-Options。
0赞 dvdsmpsn 6/24/2016
由于 jsfiddle 在 https 上是安全的,因此浏览器通常会阻止 http 上的 iframing。这就是为什么我在 5 秒测试后添加了负载。请注意,我测试的两个 URL 都仅是 https。
0赞 MaxCloutier 3/3/2018
有点晚了,但我也遇到了这个问题的问题,即使页面加载到 iframe 中,用 fr.wikipedia.org/wiki/Main_Page 进行测试也不起作用。
1赞 Abigail Hardin 9/25/2019
经过数小时的搜索,这终于解决了我的问题!
0赞 OlgaY 5/2/2017 #8

在线测试工具可能很有用。 我用 https://www.hurl.it/。 您可以清楚地看到响应标头。 寻找 X-frame-option。if value is deny - 它不会显示在 iframe 中。 同一来源 - 仅来自同一域, allow- 将允许来自特定网站。

如果您想尝试其他工具,只需在谷歌上搜索“http request test online”即可。

上一个:HTML purifier with WYSIWYG-寻找xss-clean替代品

下一个:如何安全地存储SSL或公钥?[关闭]