superset(master)iframe跨域集成時遇到難題?

開干

第一道墻

首先份招,認(rèn)識一下 X-Frame-Options切揭。
The X-Frame-Options HTTP 響應(yīng)頭是用來給瀏覽器 指示允許一個頁面 可否在 <frame>, <iframe>, <embed> 或者 <object> 中展現(xiàn)的標(biāo)記。站點(diǎn)可以通過確保網(wǎng)站沒有被嵌入到別人的站點(diǎn)里面锁摔,從而避免 clickjacking 攻擊伴箩。

X-Frame-Options 有三個可能的值:

X-Frame-Options: deny # 表示該頁面不允許在 frame 中展示,即便是在相同域名的頁面中嵌套也不允許鄙漏。
X-Frame-Options: sameorigin # 表示該頁面可以在相同域名頁面的 frame 中展示嗤谚。
X-Frame-Options: allow-from https://www.baidu.com/ # 表示該頁面可以在指定來源的 frame 中展示。

在0.27中保持這個配置項為空即可怔蚌,在master中遠(yuǎn)遠(yuǎn)不夠巩步。

第二道墻

這么修改后可能還會遇到在打開iframe時出現(xiàn)錯誤


image.png

這里的原因可能是——開啟public角色的訪問權(quán)限后,真正放到iframe中還需要解決跨域問題桦踊,而老版本中對http_headers配置項的修改不起作用椅野,只能直接對explore_json去除csrf保護(hù)。
添加配置文件中的??

WTF_CSRF_EXEMPT_LIST = [
    "superset.views.core.explore_json"
    ]

再次訪問有效籍胯,所以在master版本中竟闪,主要是依靠對特定接口取消保護(hù)來達(dá)到目的。


image.png

第三道墻

如果使用nginx進(jìn)行部署的話杖狼,還需要配置 nginx 發(fā)送 X-Frame-Options 響應(yīng)頭炼蛤,把下面這行添加到 'http', 'server' 或者 'location' 的配置中:

add_header X-Frame-Options sameorigin always;

注意:

  1. 修改配置項http_headers為 {"X-Frame-Options": ""} 對授權(quán)無用,但對限制有用蝶涩;
  2. 用戶訪問不在自己角色可能訪問的數(shù)據(jù)理朋,只是權(quán)限問題,可能報錯:


    image.png
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末绿聘,一起剝皮案震驚了整個濱河市嗽上,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌熄攘,老刑警劉巖兽愤,帶你破解...
    沈念sama閱讀 211,817評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異挪圾,居然都是意外死亡浅萧,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,329評論 3 385
  • 文/潘曉璐 我一進(jìn)店門洛史,熙熙樓的掌柜王于貴愁眉苦臉地迎上來惯殊,“玉大人,你說我怎么就攤上這事也殖⊥了迹” “怎么了?”我有些...
    開封第一講書人閱讀 157,354評論 0 348
  • 文/不壞的土叔 我叫張陵忆嗜,是天一觀的道長己儒。 經(jīng)常有香客問我,道長捆毫,這世上最難降的妖魔是什么闪湾? 我笑而不...
    開封第一講書人閱讀 56,498評論 1 284
  • 正文 為了忘掉前任,我火速辦了婚禮绩卤,結(jié)果婚禮上途样,老公的妹妹穿的比我還像新娘江醇。我一直安慰自己,他們只是感情好何暇,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,600評論 6 386
  • 文/花漫 我一把揭開白布陶夜。 她就那樣靜靜地躺著,像睡著了一般裆站。 火紅的嫁衣襯著肌膚如雪条辟。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 49,829評論 1 290
  • 那天宏胯,我揣著相機(jī)與錄音羽嫡,去河邊找鬼。 笑死肩袍,一個胖子當(dāng)著我的面吹牛杭棵,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播了牛,決...
    沈念sama閱讀 38,979評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼颜屠,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了鹰祸?” 一聲冷哼從身側(cè)響起甫窟,我...
    開封第一講書人閱讀 37,722評論 0 266
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎蛙婴,沒想到半個月后粗井,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 44,189評論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡街图,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,519評論 2 327
  • 正文 我和宋清朗相戀三年浇衬,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片餐济。...
    茶點(diǎn)故事閱讀 38,654評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡耘擂,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出絮姆,到底是詐尸還是另有隱情醉冤,我是刑警寧澤,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布篙悯,位于F島的核電站蚁阳,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏鸽照。R本人自食惡果不足惜螺捐,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,940評論 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧定血,春花似錦赔癌、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,762評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至倔喂,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間靖苇,已是汗流浹背席噩。 一陣腳步聲響...
    開封第一講書人閱讀 31,993評論 1 266
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留贤壁,地道東北人悼枢。 一個月前我還...
    沈念sama閱讀 46,382評論 2 360
  • 正文 我出身青樓,卻偏偏與公主長得像脾拆,于是被迫代替她去往敵國和親馒索。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,543評論 2 349

推薦閱讀更多精彩內(nèi)容

  • 元素會創(chuàng)建包含另外一個文檔的內(nèi)聯(lián)框架(即行內(nèi)框架)名船; 一绰上、align 屬性(不贊成) align屬性規(guī)定ifram...
    puxiaotaoc閱讀 19,714評論 0 14
  • 什么是跨域 跨域,是指瀏覽器不能執(zhí)行其他網(wǎng)站的腳本渠驼。它是由瀏覽器的同源策略造成的蜈块,是瀏覽器對JavaScript實(shí)...
    他方l閱讀 1,061評論 0 2
  • 什么是跨域 跨域,是指瀏覽器不能執(zhí)行其他網(wǎng)站的腳本迷扇。它是由瀏覽器的同源策略造成的百揭,是瀏覽器對JavaScript實(shí)...
    HeroXin閱讀 833評論 0 4
  • 什么是跨域 跨域,是指瀏覽器不能執(zhí)行其他網(wǎng)站的腳本蜓席。它是由瀏覽器的同源策略造成的器一,是瀏覽器對JavaScript實(shí)...
    Yaoxue9閱讀 1,288評論 0 6
  • 前言 “安全”是個很大的話題,各種安全問題的類型也是種類繁多厨内。如果我們把安全問題按照所發(fā)生的區(qū)域來進(jìn)行分類的話祈秕,那...
    莫小耿閱讀 986評論 0 2