不同域名通过iframe嵌套显示 提示被拒绝显示

陌上坚

设置 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options
可以正常使用

 

add_header X-Frame-Options ALLOWALL;

语法

X-Frame-Options 有三个可能的值：

X-Frame-Options: deny
X-Frame-Options: sameorigin
X-Frame-Options: allow-from https://example.com/

指南

换一句话说，如果设置为 deny，不光在别人的网站 frame 嵌入时会无法加载，在同域名页面中同样会无法加载。另一方面，如果设置为sameorigin，那么页面就可以在同域名页面的 frame 中嵌套。

deny

表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。

sameorigin

表示该页面可以在相同域名页面的 frame 中展示。

allow-from uri

表示该页面可以在指定来源的 frame 中展示。

Content-Security-Policy:

default-src *; frame-src 'self' wvjbscheme://* https://gjfs.linkfinance.cn http://gjfs-v4.dev.linkfin.caih.local/web/user/login/ http://220.****6:8877/ http://1****.84/ http://2****81/ https://zg******.com/ http://zg****d.com/ http://******/ http://tes******oud.com/ http://xm*****n.com/ https://xm*****n.com/; style-src 'self' 'unsafe-inline'; script-src * 'unsafe-inline' 'unsafe-eval'; img-src * data: blob:

 

 

 

设置完即可使用

找到了新的优先级更高的配置   
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors

Content-Security-Policy: frame-ancestors <source>;的优先级 高于X-Frame-Options

add_header Content-Security-Policy "frame-ancestors *";  所有网页都可以进行嵌入

IIS处理办法，在web.config文件中添加修改如下内容

  <httpProtocol>
      <customHeaders>
        <add name="Access-Control-Allow-Origin" value="*" />
         <add name="X-Frame-Options" value="ALLOWALL" />
                <add name="Content-Security-Policy" value="frame-ancestors *" />
      </customHeaders>
    </httpProtocol>

 

来源：https://www.cnblogs.com/njccqx/p/13328740.html