前言: 由於上一篇已經成功的訪問到了數據源頁面,但是需要內嵌到系統中,發現 iframe 的一些好玩的現象。
背景:
iframe 只支持訪問:請求頭中的 X-Frame-Options 的
X-Frame-Options 有三個值:
DENY
表示該頁面不允許在 frame 中展示,即便是在相同域名的頁面中嵌套也不允許。
SAMEORIGIN
表示該頁面可以在相同域名頁面的 frame 中展示。
ALLOW-FROM url
表示該頁面可以在指定來源的 frame 中展示。
注意:如果不添加url 可以在任何地址訪問。
如果需要設置
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options
解決措施:
一開始覺得很無力,畢竟頁面的頭信息是來源於他響應的服務器設置的頭。但我發現了
Clickjack保護
Tableau Server包括針對Clickjack攻擊的防護。點擊劫持是一種針對網頁的攻擊,攻擊者試圖通過在不相關的頁面上顯示要在透明層中進行攻擊的頁面來誘使用戶點擊或輸入內容。在Tableau Server環境中,攻擊者可能會嘗試使用clickjack攻擊來捕獲用戶憑據或讓經過身份驗證的用戶更改服務器上的設置。有關clickjack攻擊的詳細信息,請參閱 Open Web Application Security項目網站上的Clickjacking。
注意:以前版本的Tableau Server中提供了Clickjack保護,但默認情況下已禁用。除非明確禁用,否則Tableau Server 9.1及更高版本的新安裝將始終具有clickjack保護。
來源:
https://onlinehelp.tableau.com/current/server/en-us/clickjack_protection.htm
處理措施:
tsm configuration set -k wgserver.clickjack_defense.enabled -v false
tsm pending-changes apply