oauth X-Frame-Options 跳转授权页面时,302重定向禁用iframe

因为oauth/authorize响应头包含X-Frame-Options: DENY
解决方案:
openresty nginx 移除该属性,经测试生效

more_clear_headers X-Frame-Options;

====打印日志,发现没有了该属性;
set $resp_header "";
header_filter_by_lua '
local h = ngx.resp.get_headers()
for k, v in pairs(h) do
ngx.var.resp_header=ngx.var.resp_header..k..": "..v
end
';

log_format main '"$resp_header"';

引用:

现代浏览器在HTTP的header中加入了X-Frame-Options选项,浏览器可以根据这个选项来决定某个资源是否允许通过frame或iframe嵌套到别的网站中。
如果响应头中将其值设置为了SAMEORIGIN,则告诉浏览器该资源仅允许被嵌套在同源网站,如果值为DENY,则在任何位置的嵌套都是不允许的。

posted @ 2017-08-04 19:36  aiaito  阅读(3986)  评论(0编辑  收藏  举报