仕事中の問題と解決メモ。

最近はPythonとGoogle Cloud Platformがメイン。株式会社ビズオーシャンで企画と開発運用、データ活用とか。 http://mstdn.bizocean.co.jp/@uyamazak https://github.com/uyamazak/

ローカル環境でX-Frame-Optionsを無効化する

収集したクリックの座標データをヒートマップで表示させるときに、下にiframeで元のページを出しておくと非常に見やすくて便利だけど、まともなサイト場合、X-Frame-Optionsが設定されており、表示できない。


プロキシサーバーを作ってヘッダーの書き換えなども考えたけど、ブラウザの拡張機能でなんとかなった。

iframeが入ったhtmlは、localhostなどにおき、WEBサーバーを立てて、httpでアクセスできるのが前提。file://でも行けるかもしれないけど未確認。


いつもChromeを使っているので下記を使った。

chrome.google.com


設定画面で、「Response Headers」に下記を追加。

Name

X-Frame-Options

Value

ALLOW-FROM http://localhost


これで問題なく読み込めた。あくまでローカルでの設定なので、社内の人がlocalhostに悪意のあるページを置くなど極端な例を除いて、セキュリティの心配はないはず。


広告タグなどで問題が出る場合はvalueを空にして

ALLOW-FROM

のみでも行けた。この設定中はちょっと危険なので気をつけるべき。