X-Frame-Options SAMEORIGIN bloqueando iframe en mi dominio

Question

estoy usando http://www.jacklmoore.com/colorbox para mostrar el contenido de una url en un lightbox. después de la implementación, el colorbox no mostró nada.

Más tarde, me di cuenta el siguiente error en los registros de cromo:

Refused to display document because display forbidden by X-Frame-Options. 

así que después de documentar he añadido la siguiente línea al .htaccess raíz del sitio web:

Header always append X-Frame-Options SAMEORIGIN 

para permitir la incrustación iframe en mi propio dominio.

Pero sigo teniendo el error, soy novato de x-frame, y estoy trabajando en una aplicación existente, por lo que pensé que la solución .htaccess sería agradable, pero ¿puede ser anulada por algún código? Tenga en cuenta que no está en la configuración del servidor.

Answer 1

intente enviar otra cabecera X-Frame-Options, añadir

<?php header('X-Frame-Options: GOFORIT'); ?> 

a la parte superior de la página. Debe deshabilitar el comando SAMEORIGIN.

Answer 2

De acuerdo con las páginas de moz dev. Aquí está la definición de la SAMEORIGIN

La página sólo se pueden mostrar en un marco en el mismo origen que la página sí.

Significa que solo si incluye alguna página de su sitio se mostraría.
Vamos a suponer

1. usted tiene un sitio web en http://foo.com y desea algo que mostrar en marco flotante de la http://foo.com/sec_page se mostraría en el marco flotante
2. pero si incrusta el mismo marco flotante (http://foo.com/sec_page) para cargar en http://bar.com entonces no mostraría nada. Como el origen sería cambiado.

Puede leer el full note here

Answer 3

puede quitar el encabezado de la respuesta que se obtiene:

header_remove ("X-Frame-Options");

Answer 4

Establezca las opciones de XFrame en DENY o Sameorigin. De lo contrario, puede ayudar a crear ataques de phishing o inyecciones de Frame si su sitio es vulnerable al ataque XSS.

Answer 5

He añadido esto en httpd.conf:

Header unset X-Frame-Options 

y funciona.