Opções X-frame são anti-clickjacking, não XSS. A página se recusa a ser exibida em um iframe. Você pode usar uma janela pop-up?
Estou tentando acessar o conteúdo de tags HTML em um iframe em uma página que estou desenvolvendo. As páginas pai e iframed possuem o mesmo domínio raiz, mas subdomínios diferentes. Eu não posso alterar a página iframed, mas posso alterar a página pai.
Para isso, eu abri o Chrome via
open -a Google\ Chrome --args --disable-web-security
para permitir que o Chrome ignore a Política de mesma origem pertinente ao acesso de elementos em um Iframe. No entanto, o Chrome ainda retorna um erro quando tento acessar os elementos do Iframe:
Uncaught Error: SECURITY_ERR: DOM Exception 18
Refused to display document because display forbidden by X-Frame-Options.
Como posso dizer ao Chrome para ignorar completamente a verificação de XSS? Posso usar argumentos de linha de comando? Esta página no Dropbox ilustra minha intenção. Estou tentando acessar o conteúdo do iframe. link
Tags google-chrome iframe xss