Django开发 X-Frame-Options to deny 报错处理

本博客已停更，请转自新博客查看 https://www.whbwiki.com/318.html

错误提示

Refused to display 'http://127.0.0.1:8000/index/welcome.html' in a frame because it set 'X-Frame-Options' to 'deny'.

错误原因

由于借用的是开源模板，百度查询到的问题是frame架构中间人攻击的相关bug，但是全是Java的解决方案。找了好久，在谷歌上找到线索，问题原因：（官方文档的答案）

clickjacking中间件和装饰器提供了易于使用的保护，以防止clickjacking。当恶意站点诱使用户单击他们已加载到隐藏框架或iframe中的另一个站点的隐藏元素时，会发生这种类型的攻击。

现代浏览器采用X-Frame-Options HTTP标头，该标头指示是否允许在框架或iframe中加载资源。如果响应包含标头值为的标头，SAMEORIGIN则浏览器将仅在请求源自同一站点的情况下将资源加载到框架中。如果将标头设置为，DENY则无论哪个站点发出请求，浏览器都将阻止资源加载到框架中。

Django提供了几种在您的网站响应中包含此标头的方法：

1. 在所有响应中设置标头的中间件。
2. 一组视图装饰器，可用于覆盖中间件或仅为某些视图设置标头。

如果X-Frame-OptionsHTTP头尚未在响应中出现，则仅由中间件或视图装饰器设置。

在Django 3.0中进行了更改：

设置的默认值X_FRAME_OPTIONS从更改SAMEORIGIN为DENY

出现问题的原因在setting中的中间件：

MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',		//问题在这里
]

处理方法

1. 注释掉上面中间件，但是这样不好，容易出现中间人攻击。

最好的方法：

1. 在view中添加装饰器

from django.shortcuts import render
from django.views.decorators.clickjacking import xframe_options_exempt

@xframe_options_exempt
def add_staff(request):
    pass
    return render(request, 'login/admin-list.html')

中规中矩的方法，貌似跟第一种一样，不清楚没测试，希望能帮助到大家，毕竟百度不到：

1. 在setting中设置：

X_FRAME_OPTIONS = 'SAMEORIGIN'