X-Frame-Options Assente ma non posso caricare la pagina in iframe

3

Sto cercando di trovare il motivo per cui una determinata pagina web non viene decodificata anche quando l'intestazione X-Frame-Options è assente.
Osservazione:
Quando scrivo un codice HTML con tag iframe che punta all'URL e salvo localmente questo file e lo apro, posso trovare la pagina che viene caricata in un inframe. Ma quando provo lo stesso URL qui , non viene caricato in iframe.
Quindi, cos'altro può impedire a una pagina di ottenere iframed tranne l'impostazione del valore dell'intestazione dell'opzione X-Frame come DENY / Same-Origin?

Questo è un link specifico dell'azienda quindi mi sto astenendo dall'incollare l'URL ma sto scrivendo tutto l'header della risposta che viene impostato:

HTTP / 1.1 200 OK Controllo della cache: privato Content-Type: text / html; charset = utf-8
Set-Cookie: ASP.NET_SessionId = valore
X-OFIS: qualche valore
Strict-Transport-Security: max-age = 31536000
Compatibile con X-UA: IE = edge X-Content-Type-Options: nosniff
Protezione X-XSS: 1; mode = blocco
Content-Security-Policy: default-src 'self' * .xyz.com
X-Content-Security-Policy: default-src 'self' * .xyz.com
Access-Control-Allow-Origin: *
Data: sabato 13 maggio 2017 17:38:04 GMT
Connessione: chiudi
Lunghezza contenuto: 33335

    
posta one 13.05.2017 - 19:57
fonte

1 risposta

6

L'intestazione HTTP Content-Security-Policy può essere utilizzata per proteggere dal caricamento della pagina in un iframe.

In questo caso, il suo valore è impostato su default-src 'self' *.xyz.com , il che significa che solo il dominio corrente e *.xyz.com possono caricare questa pagina in un iframe.

Quella intestazione HTTP ha altri usi come la protezione dagli attacchi XSS. Puoi trovare ulteriori informazioni sulla guida OWASP .

    
risposta data 13.05.2017 - 20:01
fonte

Leggi altre domande sui tag