Opciones de X-Frame Ausente pero no puedo cargar la página en iframe

3

Estoy tratando de encontrar la razón por la cual una determinada página web no se está obteniendo, aunque el encabezado de X-Frame-Options esté ausente.
Observación:
Cuando escribo un HTML con etiqueta iframe que apunta a la URL y guardo este archivo localmente y lo abro, puedo encontrar la página que se está cargando en un inframe. Pero cuando intento la misma URL aquí , no se está cargando en iframe.
Entonces, ¿qué otra cosa puede evitar que una página obtenga iframed excepto que se establezca el valor del encabezado X-Frame-Option como DENY / Same-Origin?

Este es un enlace específico de la compañía, por lo que me abstengo de pegar la URL, pero estoy escribiendo todos los encabezados de respuesta que se están configurando:

HTTP / 1.1 200 OK
Cache-Control: privado
Tipo de contenido: texto / html; conjunto de caracteres = utf-8
Set-Cookie: ASP.NET_SessionId = valor
X-OFIS: algo de valor
Strict-Transport-Security: max-age = 31536000
Compatible con X-UA: IE = edge
Opciones de tipo de contenido X: nosniff
Protección X-XSS: 1; modo = bloque
Política de seguridad del contenido: default-src 'self' * .xyz.com
X-Content-Security-Policy: default-src 'self' * .xyz.com
Acceso-Control-Permitir-Origen: *
Fecha: sábado, 13 de mayo de 2017 17:38:04 GMT
Conexión: cerrar
Contenido-Longitud: 33335

    
pregunta one 13.05.2017 - 19:57
fuente

1 respuesta

6

El encabezado HTTP Content-Security-Policy se puede usar para evitar que se cargue la página en un iframe.

En este caso, su valor se establece en default-src 'self' *.xyz.com , lo que significa que solo el dominio actual y *.xyz.com pueden cargar esta página en un iframe.

El encabezado HTTP tiene otros usos, como la protección contra ataques XSS. Puede encontrar más información en la guía OWASP .

    
respondido por el Benoit Esnard 13.05.2017 - 20:01
fuente

Lea otras preguntas en las etiquetas