ويتم تعيين ترويسة استجابة غير صالحة من وحدة تحكم التضمين

hjr265 · 14 مارس 2021، 2:55ص

app/controllers/embed_controller.rb

53ab3dda5


      
              @setup_url = "#{Discourse.base_url}/admin/customize/embedding"
              @show_reason = true
              @hosts = EmbeddableHost.all
            end
            render 'embed_error', status: 400
          end
          
          def topics
            discourse_expires_in 1.minute
          
            response.headers['X-Frame-Options'] = "ALLOWALL"
            unless SiteSetting.embed_topics_list?
              render 'embed_topics_error', status: 400
              return
            end
          
            if @embed_id = params[:discourse_embed_id]
              raise Discourse::InvalidParameters.new(:embed_id) unless @embed_id =~ /^de\-[a-zA-Z0-9]+$/
            end
          
            if params.has_key?(:template) && params[:template] == "complete"

لا تحدد MDN قيمة “ALLOWALL” كقيمة محتملة لرأس X-Frame-Options. في Firefox، عند تحميل أي صفحة تحتوي على تضمين، يمكن ملاحظة ذلك في وحدة التحكم:

هل توجد طريقة لعدم إرسال هذا الرأس وتحديد توجيه frame-ancestors لرأس Content-Security-Policy؟ من خلال الكود، لا يبدو أن هناك طريقة لتكوين ذلك.

Falco · 14 مارس 2021، 3:52م

لقد رأيت هذا الخطأ أثناء العمل على التضمين في مدونتنا الجديدة. هل الحل السهل هو ببساطة إزالة هذا العنوان؟

hjr265 · 15 مارس 2021، 12:58م

أعتقد ذلك، نعم. أفترض أنك تقصد إزالته من Discourse (بدلاً من إخفائه باستخدام بعض إعدادات Nginx). على أي حال، يُعتبر رأس الرسالة نفسه قديماً الآن. توجد حالات أخرى لنفس رأس الرسالة في ذلك الملف.

ملاحظة: يحتوي رأس HTTP الخاص بـ Content-Security-Policy على توجيه frame-ancestors يجعل هذا الرأس قديماً للمتصفحات الداعمة.

Falco · 23 مارس 2021، 12:17ص

تم إصلاح هذا الآن:

Falco · 27 مارس 2021، 8:00ص

تم إغلاق هذا الموضوع تلقائيًا بعد 4 أيام. لم يعد مسموحًا بالردود الجديدة.

الموضوع		الردود	مرات العرض
Browser prevents Discourse from rendering in iframe despite proper configuration (`X-Frame-Options: SAMEORIGIN`) Bug embedding	0	106	12 نوفمبر 2024
Embedded comments not displayed due to X-Frame-Options DENY Support	12	3336	8 يونيو 2024
Embedding error Support	13	3983	21 نوفمبر 2020
Refused to display in a frame because it set 'X-Frame-Options' to 'sameorigin' Support	7	46156	8 يونيو 2024
CSP Frame Ancestors enabled by default Announcements	4	1685	20 ديسمبر 2023

ويتم تعيين ترويسة استجابة غير صالحة من وحدة تحكم التضمين

الموضوعات ذات الصلة