阿里云首页

Quick BI仪表板中的部分内嵌页面无法正常显示,部分内嵌页面可以正常显示

问题描述

Quick BI仪表板中的部分内嵌页面无法正常显示,部分内嵌页面可以正常展示。

问题原因

  • 被嵌入的页面设置有同源不跨域策略且域名不是*.aliyun.com不能内嵌,Quick BI页面和嵌入的页面不是同一个域名,嵌入页面的请求的接口中X-Frame-Options响应头配置了'sameorigin'。

  • 被嵌入的页面没有设置X-Frame-Options响应头可以被内嵌正常显示。
  • 被嵌入的页面X-Frame-Options响应头配置了'sameorigin',但是页面的域名是*.aliyun.com可以被内嵌正常显示。

 

【小知识】

X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。

X-Frame-Options响应头有三个参数:

1、DENY

表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。

2、SAMEORIGIN

表示该页面可以在相同域名页面的frame中展示。

3、ALLOW-FROM uri

表示该页面可以在指定来源的frame中展示。

换一句话说,如果设置为DENY,不光在别人的网站frame嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的frame中嵌套。正常情况下我们通常使用SAMEORIGIN参数。

解决方案

能否正常被内嵌显示是由被内嵌网页X-Frame-Options 响应头决定的,只能内嵌显示符合要求的网页。

适用于

  • Quick BI 
首页 Quick BI仪表板中的部分内嵌页面无法正常显示,部分内嵌页面可以正常显示