如何绕过X-Frame-Options: SAMEORIGIN HTTP头？

更新：2019-12-30

看起来这个工具不再可用！[请求更新！]

更新 2019-01-06：您可以使用我的X-Frame-Bypass Web组件绕过X-Frame-Options在<iframe>中。它通过使用多个CORS代理扩展了IFrame元素，并在最新版本的Firefox和Chrome中进行了测试。

您可以按如下方式使用它：

1. (Optional) Include the Custom Elements with Built-in Extends polyfill for Safari:

   <script src="https://unpkg.com/@ungap/custom-elements-builtin"></script>
   

2. Include the X-Frame-Bypass JS module:

   <script type="module" src="x-frame-bypass.js"></script>
   

3. Insert the X-Frame-Bypass Custom Element:

   <iframe is="x-frame-bypass" src="https://example.org/"></iframe>
   

如果第二家公司允许您在IFrame中访问其内容，那么他们需要取消此限制 - 他们可以在IIS配置中轻松完成此操作。
您无法规避它，任何可行的方法都应在安全热修复中快速修补。如果源内容标头禁止在框架中使用，则不能告诉浏览器仅呈现该框架。这将使会话劫持变得更加容易。
如果内容仅为GET，您不会发布数据，则可以在服务器端获取页面并代理内容而不包含标头，但是任何后续的发布都应该被使无效。

X-Frame-Options头是在浏览器层面上强制执行的安全功能。

如果您能够控制用户群体（例如企业应用的IT部门），那么您可以尝试使用类似于Greasemonkey脚本的东西（如果您能够a）在所有人员中部署Greasemonkey并b）以共享方式部署您的脚本）...

或者，您可以代理他们的结果。 在您的服务器上创建一个端点，让该端点打开与目标端点的连接，并简单地将流量向后导。

是的，Fiddler对我来说是一个选择：

1. Open Fiddler menu > Rules > Customize Rules (this effectively edits CustomRules.js).
2. Find the function OnBeforeResponse

3. Add the following lines:

   oSession.oResponse.headers.Remove("X-Frame-Options");
   oSession.oResponse.headers.Add("Access-Control-Allow-Origin", "*");
   

4. Remember to save the script!

至于第二个问题-您可以使用Fiddler过滤器手动设置响应X-Frame-Options头，例如ALLOW-FROM *。但是，当然，这个技巧只对您有效-其他用户仍然无法看到iframe内容（除非他们也这样做）。