Ich habe einen Client, der ColdFusion 10 und IIS 7.5 auf Win 2k3 R2 verwendet. Der ColdFusion-Administrator verwendet Frames. Als ich in den CF-admin einloggen Ich bin ein leerer weißer Bildschirm in Chrome zu sehen und in IE ich eine Meldung sehe sagen mir dies:Was fügt global einen Header "x-frame-options: deny" hinzu?
Dieser Inhalt nicht in einem Frame angezeigt werden kann
schützen zu helfen Die Sicherheit der Informationen, die Sie auf dieser Website eingeben, erlaubt dem Herausgeber dieses Inhalts nicht, in einem Rahmen angezeigt zu werden.
Ich sehe ein paar diese Nachricht (1 für jeden Rahmen) in der Chrom-dev Konsole:
Verweigern in einem Rahmen 'http://localhost/CFIDE/Administrator/navserver.cfm' angezeigt werden, weil sie 'X-Frame-Options' gesetzt bestreiten'.
Mit Blick auf die Antwort-Header in Chrome, kann ich sehen, dass dies auf DENY eingestellt ist.
Ich kann nicht herausfinden, woher das kommt. Alle Sites auf diesem Server geben jetzt diesen Header aus. Ich habe nie explizit konfiguriert, diesen Header auszugeben. Ich weiß, CF hätte dies in einem Patch nicht getan, weil es seine eigene Admin-Oberfläche hätte durchbrechen können.
Die rootserverweite Konfiguration von IIS in HTTP Response Headers verfügt über keine X-Frame-Optionen und tut auch keine der konfigurierten Websites.
Wenn ich explizit eine X-Frame-Optionen-Header hinzufügen und es auf sameorigin setzen, sehe ich beide Header (deny und sameorigin).
Gibt es vielleicht eine Software, die das Sicherheitsteam des Kunden installiert hat und die diesen Header eingibt?
Ich greife auf die Site auf localhost, so kann ich mir nicht vorstellen, dass es ein Netzwerkgerät ist, das das Problem verursacht. Es muss auf dem Server selbst sein, oder?
Irgendwelche Ideen?
Sie waren mit dem CFClickJackFilterDeny genau richtig. Es sieht so aus, als ob jemand blindlings einem Lockdown Guide folgt und den Filter global auf leugnen setzt. Das Umschalten auf denselben Ursprung löste das Problem. Das ist eine wirklich beeindruckende Antwort. –