TableauServer iframe 不支持嵌套（Clickjack）

前言: 由于上一篇已经成功的访问到了数据源页面，但是需要内嵌到系统中，发现 iframe 的一些好玩的现象。

背景：

iframe 只支持访问：请求头中的 X-Frame-Options 的

X-Frame-Options 有三个值:
DENY
表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM url
表示该页面可以在指定来源的 frame 中展示。

注意：如果不添加url 可以在任何地址访问。

如果需要设置
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options

解决措施：

一开始觉得很无力，毕竟页面的头信息是来源于他响应的服务器设置的头。但我发现了

Clickjack保护

Tableau Server包括针对Clickjack攻击的防护。点击劫持是一种针对网页的攻击，攻击者试图通过在不相关的页面上显示要在透明层中进行攻击的页面来诱使用户点击或输入内容。在Tableau Server环境中，攻击者可能会尝试使用clickjack攻击来捕获用户凭据或让经过身份验证的用户更改服务器上的设置。有关clickjack攻击的详细信息，请参阅 Open Web Application Security项目网站上的Clickjacking。

注意：以前版本的Tableau Server中提供了Clickjack保护，但默认情况下已禁用。除非明确禁用，否则Tableau Server 9.1及更高版本的新安装将始终具有clickjack保护。

来源：
https://onlinehelp.tableau.com/current/server/en-us/clickjack_protection.htm

处理措施：

tsm configuration set -k wgserver.clickjack_defense.enabled -v false
tsm pending-changes apply