問(wèn)題描述

在寶雞等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供網(wǎng)站制作、網(wǎng)站設(shè)計(jì) 網(wǎng)站設(shè)計(jì)制作定制網(wǎng)站制作,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),成都品牌網(wǎng)站建設(shè),全網(wǎng)整合營(yíng)銷推廣,外貿(mào)營(yíng)銷網(wǎng)站建設(shè),寶雞網(wǎng)站建設(shè)費(fèi)用合理。

我們SharePoint站點(diǎn)用Excel Service發(fā)布的Excel，需要Iframe到其他系統(tǒng)中，但是，Iframe的時(shí)候發(fā)現(xiàn)報(bào)錯(cuò)“此內(nèi)容不能顯示在一個(gè)框架中”。

后來(lái)，嘗試在其他系統(tǒng)中Iframe SharePoint其他頁(yè)面，同樣報(bào)這樣的錯(cuò)誤；但是SharePoint自己的頁(yè)面，Iframe自己頁(yè)面不報(bào)錯(cuò)，Iframe自己的Excel Services 頁(yè)面報(bào)錯(cuò)，很奇怪的問(wèn)題。

問(wèn)題截圖

問(wèn)題介紹

經(jīng)過(guò)很長(zhǎng)一段時(shí)間的搜索，發(fā)現(xiàn)是一種安全策略造成的，為了防止“ClickJacking attacks”，然后在查找了一下，這是什么意思，原來(lái)是“點(diǎn)擊劫持攻擊”，下面我們?cè)倏纯词裁词沁@個(gè)點(diǎn)擊劫持。

點(diǎn)擊劫持定義 打開(kāi)一個(gè)網(wǎng)頁(yè)，出現(xiàn)一個(gè)flash廣告框，你點(diǎn)擊“關(guān)閉”按鈕，可結(jié)果廣告并沒(méi)有關(guān)閉，卻變成了全屏，這樣的情況在計(jì)算機(jī)安全領(lǐng)域叫做點(diǎn)擊劫持，也就是說(shuō)你點(diǎn)擊鼠標(biāo)的行為被人給控制了。

點(diǎn)擊劫持特征 點(diǎn)擊劫持是一種惡意攻擊技術(shù)，用于跟蹤網(wǎng)絡(luò)用戶，獲取其私密信息或者通過(guò)讓用戶點(diǎn)擊看似正常的網(wǎng)頁(yè)來(lái)遠(yuǎn)程控制其電腦。很多瀏覽器和操作平臺(tái)都有這樣的漏洞。

點(diǎn)擊劫持作用 可以用嵌入代碼或者文本的形式出現(xiàn)，在用戶毫不知情的情況下完成攻擊，比如點(diǎn)擊一個(gè)表面顯示是“播放”某個(gè)視頻的按鈕，而實(shí)際上完成的操作卻是將用戶的社交網(wǎng)站個(gè)人信息改為“公開(kāi)”狀態(tài)。

解決方案一

其實(shí)問(wèn)題就是Http響應(yīng)標(biāo)頭是否有設(shè)置X-Frame-Options，我想SharePoint內(nèi)部應(yīng)該對(duì)這個(gè)進(jìn)行限制了，造成了我們無(wú)法訪問(wèn)，而IIS站點(diǎn)的位置，卻沒(méi)有表現(xiàn)出來(lái)，然后，試圖添加IIS站點(diǎn)的Http響應(yīng)標(biāo)頭，發(fā)現(xiàn)可以解決問(wèn)題。

1、打開(kāi)IIS，點(diǎn)擊HTTP響應(yīng)標(biāo)頭；

2、分組的空白區(qū)域右鍵添加，如下節(jié)點(diǎn)；

X-Frame-Options header包括三種值:

· DENY

· SAMEORIGIN

· ALLOW-FROM origin

簡(jiǎn)單介紹，DENY就是所有的Iframe都禁止，SAMEORIGIN是本服務(wù)器允許Iframe，ALLOW-FROM是定向允許，后面接域名。

解決方案二

以上是第一種解決方案，通過(guò)修改網(wǎng)站的Http響應(yīng)標(biāo)頭，后來(lái)查找發(fā)現(xiàn)，還有其他的解決方案，通過(guò)部署解決方案，禁用SharePoint的限制。這個(gè)是一個(gè)完整的博客，請(qǐng)參考一下博文。

在其他系統(tǒng)Iframe中顯示SharePoint頁(yè)面

http://www.cnblogs.com/yunliang1028/archive/2013/08/07/3243246.html

解決后效果圖

如下圖，可以正常Iframe了，我先使用解決方案二把SharePoint的屏蔽掉，自己使用添加HTTP響應(yīng)標(biāo)頭的方法，開(kāi)放我需要的站點(diǎn)進(jìn)行Iframe。這樣，就防止了點(diǎn)擊劫持，有能使需要的站點(diǎn)進(jìn)行Iframe，效果圖下面。

結(jié)束語(yǔ)

其實(shí)，很想吐槽一下，想了想，這個(gè)問(wèn)題有讓自己多了解了SharePoint一番，還了解了HTTP響應(yīng)標(biāo)頭，還不錯(cuò)，算了，我忍了。做了這么久SharePoint，遇到各式各樣的問(wèn)題，習(xí)慣了，好了，就到這里，休息，休息一下~~

附錄

http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx

特別鳴謝

http://www.cnblogs.com/yunliang1028/博客博主Yunliang Yu的解決方案~

因本人技術(shù)有限，現(xiàn)階段僅用作記錄收藏他人作品。

網(wǎng)站欄目：SharePointIframe報(bào)錯(cuò)“此內(nèi)容不能顯示在一個(gè)框架中”-創(chuàng)新互聯(lián)
網(wǎng)頁(yè)路徑：http://aaarwkj.com/article48/jcehp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、網(wǎng)站設(shè)計(jì)、網(wǎng)頁(yè)設(shè)計(jì)公司、軟件開(kāi)發(fā)、做網(wǎng)站、品牌網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)