如何突破一个框架而不会在django注销？

Question

_________ 
|A  | 
| _____ | 
| |B | | 
| |____| | 
|________| 

用户在基于Django的现场验证B.

站点A尝试的iframe中显示站点B。

当前，站点B将始终以这种方式显示用户。我认为这是django的一些安全特性。如何让我的网站在没有用户注销的情况下突破框架？

编辑：经过测试这更多一些，它似乎只发生在网站A也是Django网站。

Answer 1

更改使用settings.py的SESSION_COOKIE_NAME财产用于验证cookie的，对于任一站点A或站点B

Answer 2

我不认为这是Django的安全功能。 Django中唯一的东西就是clickjack保护，但它仍然只在dev版本中，并且不能像这样工作。它实际上使网站在现代浏览器的框架中根本不加载。请参阅：

https://docs.djangoproject.com/en/dev/ref/clickjacking/

你肯定有什么在正在实施这种行为你的项目？

更新基于编辑

这更有道理。这是因为Cookie和会话正在互相覆盖。与仅仅继承父框架的未登录状态相比，“登录用户”不是那么简单。