从MVC4升级到MVC5,我注意到一个额外的服务器头添加到我的网页:
X框架选项:SAMEORIGIN
我知道添加此标记的安全性好处,但其中一个页面意在包含在其他项目(在其他域)的iframe内,这个额外的标头阻止了这一点。
我已经验证它不是托管IIS7服务器是添加头,当我降级回到MVC4 – 标题已经走了。
有谁知道如何从MVC5删除这个默认值?
解决方法
MVC5自动添加HTTP标头X-Frame-Options和SAMEORIGIN。这会阻止您的网站加载到iframe中。
但是我们可以在Global.asax.cs中的Application_Start中关闭它。
例
protected void Application_Start()
{
AntiForgeryConfig.SuppressXFrameOptionsHeader = true;
}
更新
我已经写了一篇关于这个MVC5 prevents your website being loaded in an IFRAME的帖子
