VB.net 2010 视频教程 VB.net 2010 视频教程 python基础视频教程
SQL Server 2008 视频教程 c#入门经典教程 Visual Basic从门到精通视频教程
当前位置:
首页 > temp > python入门教程 >

  • Django开发 X-Frame-Options to deny 报错处理

错误提示

Refused to display 'http://127.0.0.1:8000/index/welcome.html' in a frame because it set 'X-Frame-Options' to 'deny'.

错误原因

由于借用的是开源模板,百度查询到的问题是frame架构中间人攻击的相关bug,但是全是Java的解决方案。找了好久,在谷歌上找到线索,问题原因:(官方文档的答案)

clickjacking中间件和装饰器提供了易于使用的保护,以防止clickjacking。当恶意站点诱使用户单击他们已加载到隐藏框架或iframe中的另一个站点的隐藏元素时,会发生这种类型的攻击。

现代浏览器采用X-Frame-Options HTTP标头,该标头指示是否允许在框架或iframe中加载资源。如果响应包含标头值为的标头,SAMEORIGIN则浏览器将仅在请求源自同一站点的情况下将资源加载到框架中。如果将标头设置为,DENY则无论哪个站点发出请求,浏览器都将阻止资源加载到框架中。

Django提供了几种在您的网站响应中包含此标头的方法:

  1. 在所有响应中设置标头的中间件。
  2. 一组视图装饰器,可用于覆盖中间件或仅为某些视图设置标头。

如果X-Frame-OptionsHTTP头尚未在响应中出现,则仅由中间件或视图装饰器设置。

在Django 3.0中进行了更改:

设置的默认值X_FRAME_OPTIONS从更改SAMEORIGINDENY

出现问题的原因在setting中的中间件:




	

		MIDDLEWARE = [  'django.middleware.security.SecurityMiddleware',  'django.contrib.sessions.middleware.SessionMiddleware',  'django.middleware.common.CommonMiddleware',  'django.middleware.csrf.CsrfViewMiddleware',  'django.contrib.auth.middleware.AuthenticationMiddleware',  'django.contrib.messages.middleware.MessageMiddleware',  'django.middleware.clickjacking.XFrameOptionsMiddleware', //问题在这里 ] 





	

		

			

				 

		

		

			 

	






	处理方法


    
	
  1. 
		注释掉上面中间件,但是这样不好,容易出现中间人攻击。
    2. 




	最好的方法:


    
	
  1. 
		在view中添加装饰器
    2. 







	

		from django.shortcuts import render from django.views.decorators.clickjacking import xframe_options_exempt  @xframe_options_exempt def add_staff(request):  pass  return render(request, 'login/admin-list.html') 





	

		

			

				 

		

		

			 

	






	中规中矩的方法,貌似跟第一种一样,不清楚没测试,希望能帮助到大家,毕竟百度不到:


    
	
  1. 
		在setting中设置:
    2. 







	

		X_FRAME_OPTIONS = 'SAMEORIGIN' 





	

		

			

				 

		

		

			 

	






	__EOF__



	

		 

	

		本文作者时光如水の总是无言 本文链接:https://www.cnblogs.com/wuhongbin/p/14011459.html






      



  

  
  

   
    
    
   

  

  
 
 

 
 
  
 
 
 
 






 






相关教程