El encabezado de respuesta HTTP X-Frame-Options se puede usar para indicar si se debe permitir o no que un navegador presente una página en un <frame> , <iframe> u <object> . Los sitios pueden usar esto para evitar ataques de clickjacking, asegurando que su contenido no esté incrustado en otros sitios.

Para más información: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

Tengo una solución alternativa para este problema, que voy a demostrar utilizando PHP:

iframe.php:

<iframe src="target_url.php" width="925" height="2400" frameborder="0" ></iframe>

target_url.php:

<?php echo file_get_contents("http://www.example.com"); ?>

En caso de que tenga el control del servidor que envía el contenido del iframe, puede establecer la configuración de X-Frame-Options en su servidor web.

Configurando Apache

Para enviar el encabezado X-Frame-Options para todas las páginas, agregue esto a la configuración de su sitio:

Header always append X-Frame-Options SAMEORIGIN

Configurando nginx

Para configurar nginx para enviar el encabezado X-Frame-Options, agréguelo a su configuración de http, servidor o ubicación:

add_header X-Frame-Options SAMEORIGIN;

Sin configuración

Esta opción de encabezado es opcional, por lo que si la opción no está configurada, le dará la opción de configurarla en la siguiente instancia (por ejemplo, el navegador de visitantes o un proxy)

fuente: https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options

La solución es instalar un complemento de navegador.

Un sitio web que emite X-Frame-Options encabezado HTTP con un valor de DENY (o SAMEORIGIN con un origen de servidor diferente) no puede integrarse en un IFRAME ... a menos que cambie este comportamiento instalando un complemento de navegador que ignore el X-Frame-Options Encabezado de X-Frame-Options (por ejemplo , ignorar encabezados de marco X de Chrome ).

Tenga en cuenta que esto no se recomienda en absoluto por razones de seguridad.

No puede establecer X-Frame-Options en el iframe . Es un encabezado de respuesta establecido por el dominio desde el que solicita el recurso ( google.com.ua en su ejemplo). Han establecido el encabezado en SAMEORIGIN en este caso, lo que significa que no han permitido cargar el recurso en un iframe fuera de su dominio. Para obtener más información, consulte El encabezado de respuesta de X-Frame-Options en MDN.

Una inspección rápida de los encabezados (que se muestra aquí en las herramientas para desarrolladores de Chrome) revela el valor de X-Frame-Options devuelto por el host.

Para este propósito, debe coincidir con la ubicación en su apache o cualquier otro servicio que esté utilizando

Si está utilizando apache, entonces en el archivo httpd.conf.

<LocationMatch "/your_relative_path"> ProxyPass absolute_path_of_your_application/your_relative_path ProxyPassReverse absolute_path_of_your_application/your_relative_path </LocationMatch>

Pareces estar malinterpretando el problema. X-Frame-Options es un encabezado incluido en la respuesta a la solicitud para indicar si el dominio solicitado se permitirá que se muestre dentro de un marco. No tiene nada que ver con javascript o HTML, y el creador de la solicitud no puede cambiarlo.

Este sitio web ha configurado este encabezado para que no se muestre en un iframe . No hay nada que pueda hacer para detener este comportamiento.

Más información sobre las opciones de X-Frame

Realmente no puede agregar el x-iframe en su cuerpo HTML, ya que debe ser proporcionado por el propietario del sitio y se encuentra dentro de las reglas del servidor.

Lo que probablemente pueda hacer es crear un archivo PHP que cargue el contenido de la URL de destino e iframe esa URL de PHP, esto debería funcionar sin problemas.

Si está siguiendo el enfoque xml, el siguiente código funcionará.

<security:headers> <security:frame-options /> <security:cache-control /> <security:content-type-options /> <security:xss-protection /> </security:headers> <security:http>

Tuve el mismo problema en mi servidor virtualmin (apache) para wordpress en un subdirectorio y ninguna de las respuestas anteriores pudo resolver el problema en mi caso y seguía recibiendo el mensaje de error denegado x-frame-options en la consola, hasta que intenté agregar debajo de la línea al archivo .htaccess ubicado en mi public_html/subdirectory/ (raíz de wordpress):

header always set x-frame-options "SAMEORIGIN"

y esta fue la única solución de trabajo en mi caso. (tenga en cuenta que hay una parte que contiene always set lugar de append o always append )

en realidad no ... yo solía

<system.webServer> <httpProtocol allowKeepAlive="true" > <customHeaders> <add name="X-Frame-Options" value="*" /> </customHeaders> </httpProtocol> </system.webServer>

puede configurar la opción x-frame-en la configuración web del sitio que desea cargar en iframe como este

<httpProtocol> <customHeaders> <add name="X-Frame-Options" value="*" /> </customHeaders> </httpProtocol>

puede hacerlo en el archivo de configuración de nivel de instancia de tomcat (web.xml) necesita agregar el ''filtro'' y el mapeo de filtro ''en el archivo de configuración web.xml. esto agregará [X-frame-options = DENY] en toda la página, ya que es una configuración global.

<filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <async-supported>true</async-supported> <init-param> <param-name>antiClickJackingEnabled</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>antiClickJackingOption</param-name> <param-value>DENY</param-value> </init-param> </filter> <filter-mapping> <filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>

y si nada ayuda y aún desea presentar ese sitio web en un iframe, considere usar X Frame Bypass Component que utilizará un proxy.