<div dir="ltr">Stackoverflow has this: <a href="http://stackoverflow.com/questions/2896623/how-to-prevent-my-site-page-to-be-loaded-via-3rd-party-site-frame-of-iframe">http://stackoverflow.com/questions/2896623/how-to-prevent-my-site-page-to-be-loaded-via-3rd-party-site-frame-of-iframe</a></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Feb 14, 2015 at 3:23 PM, Ian Dees <span dir="ltr"><<a href="mailto:ian.dees@gmail.com" target="_blank">ian.dees@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Sat, Feb 14, 2015 at 10:21 AM, Tom Hughes <span dir="ltr"><<a href="mailto:tom@compton.nu" target="_blank">tom@compton.nu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span>On 14/02/15 15:19, Richard Mann wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
If you look at the test webpage that I posted and click on the<br>
OpenStreetMap hyperlink, it does nothing in Chrome/Firefox and in IE<br>
brings up the following:<br>
<br>
"This content cannot be displayed in a frame<br>
To help protect the security of information you enter into this website,<br>
the publisher of this content does not allow it to be displayed in a frame."<br>
<br>
A bit of googling revealed that some websites do this to prevent<br>
transparent buttons being maliciously placed on top of the content<br>
(clickjacking). So I figured it must have been done deliberately. But<br>
maybe not! Mysterious.<br>
</blockquote>
<br></span>
I'm not doubting that your page does that, but I can load that page until I'm blue in the face and it tells me nothing about why it is doing it or how we control it!</blockquote><div><br></div></div></div><div>Tom, I think the secret is that he wants you to click the "OpenStreetMap" link on that page. It's supposed to load inside the iframe but doesn't.</div><div><br></div><div>Chrome tells me:</div><div>"Refused to display '<a href="http://www.openstreetmap.org/copyright" target="_blank">http://www.openstreetmap.org/copyright</a>' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'."</div><div><br></div><div>Sure enough, it looks like the X-Frame-Options header from the rails app is set to "SAMEORIGIN", which the browser apparently uses as a signal to prevent it from loading.</div></div></div></div>
</blockquote></div><br></div>