X-Frame-Options Spring Security 跨域访问问题!

最新推荐文章于 2025-09-17 04:07:30 发布
原创 最新推荐文章于 2025-09-17 04:07:30 发布 · 1.3w 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#X-Frame-Options #tomcat #Spring Security

本文探讨了在Spring Security框架下遇到的X-Frame-Options跨域访问问题。默认设置为DENY,阻止了页面在Frame中加载。在Tomcat 8及以上版本,可以通过修改web.xml配置filter来设定X-Frame-Options,但实践中发现Spring Security的DENY配置仍然生效。解决方案是调整Spring Security的配置,以允许特定来源的Frame加载。另外,文中提及可以通过自定义filter实现相同功能,但未进行验证。

   关于X-Frame-Options的配置,从网上搜索资料,大部分都描述了Apache、Ngix、IIS如何配置此项,但常用的tomcat如何配置?涉及Spring Security如何处理?这类问题还是没有找到现成的方案,动手折腾好了,遂整理下来,供自己和别人参考!    

    Spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:

    DENY:浏览器拒绝当前页面加载任何Frame页面
    SAMEORIGIN:frame页面的地址只能为同源域名下的页面
    ALLOW-FROM:origin为允许frame加载的页面地址。

    在tomcat8以后的版本中,可以通过在web.xml中定义filter设置X-Frame-Options,如下:

    <filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <init-param>
            <param-name>antiClickJackingOption</param-name>
            <param-value>SAMEORIGIN</param-value>
        </init-param>
        <async-supported>true</async-supported>
    </filter>
    
    <filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

   根据大家的说法,这样的配置会覆盖掉Spring Security中的配置,但在下这里却恰恰相反,还是Spring  4 Security中默认的DENY更加顽固,查Spring Security手册,有点乱,好在看明白了,配置如下:

<security:http entry-point-ref="casAuthenticationEntryPoint"  create-session="always" auto-config="true">
    <security:headers>
    	<security:frame-options policy="SAMEORIGIN"/>
    </security:headers>
   这样就把Spring 4 Security中的X-Frame-Options的默认DENY改掉了!

   据说还有一种办法,那就是自己实现一个filter,我认为和上文所述的第一种方法大同小异,故没有去验证,有兴趣的朋友不妨一试!

    


Spring Security设置X-Frame-Options响应头
mt23
08-25 5177
前言 被Security管理的接口中,其中可能包含html页面,而前端在开发时,可能使用frame标签。为了系统安全性,默认情况下X-Frame-Options是禁止的。 HTTP 响应头X-Frame-Options 说明 X-Frame-Options HTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面<frame>,<iframe>或<object>。通过确保其内容未嵌入其他网站,网站可以使用此功能来避免 点击劫持 攻击 取值说明
低危漏洞修复——点击劫持X-Frame-Options响应头缺失
后端开发
07-11 2683
X-Frame-Options响应头缺失,导致攻击者使用一个或多个透明的iframe覆盖在正常网页上,诱使用户在网页上进行操作,当用户在不知情的情况下点击透明的iframe页面时,用户的操作已被劫持到攻击者事先设计的恶意按钮或链接上。
Spring Security禁用X-Frame-Options
2401_85480529的博客
09-18 813
Spring Security 中用来配置 HTTP 头的安全选项,具体用于禁用浏览器的。中加载页面(例如,嵌入其他页面或允许外部页面嵌入你的网站),你需要禁用这个选项。默认情况下,Spring Security 会为所有响应添加。,你可以关闭 Spring Security 默认设置的。在某些情况下,如果你的网站或应用程序需要在。它通过控制浏览器是否允许页面在。加载,从而避免点击劫持攻击。中,而不会被浏览器阻止。,因此页面可以被嵌入到。中被加载来保护用户。,表示页面不能被任何。
Tomcat中的HTTP响应头X-Frame-Options配置详解
最新发布
gitblog_00058的博客
09-17 1163
在Web安全领,点击劫持(Clickjacking)是一种常见的攻击手段,攻击者通过将目标网站嵌入到恶意页面的iframe中,诱导用户在不知情的情况下点击被精心伪装的按钮或链接。X-Frame-Options HTTP响应头正是为防御此类攻击而生,它允许网站管理员控制自己的内容是否可以被其他网站嵌入到iframe中。 **X-Frame-Options有三个可能的值**: - `DENY`:完...
springBoot springSecurty导致的x-frame-options值为deny问题问题处理方法
txp1993的专栏
12-24 1万+
1.问题解释说明: X-Frame-OptionsHTTP响应头是用来给浏览器 指示允许一个页面 可否在<frame>,<iframe>,<embed>或者<object>中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免被攻击。 X-Frame-Options有三个可能的值: X-Frame-Option...
nginx 设置, X-Frame-Options
lihailin8的专栏
04-07 3946
X-Frame-Options 响应头 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 X-Frame-Options ...
通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白
一个爱搞技术的C.的博客
12-01 1774
springSecurity下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下: DENY:浏览器拒绝当前页面加载任何Frame页面 SAMEORIGIN:frame页面的地址只能为同源名下的页面 ALLOW-FROM:origin...
spring security怎么配置的X-Frame-Options
04-20
Spring Security中配置X-Frame-Options可以通过以下步骤进行: 1. 首先,确保你的项目中已经引入了Spring Security的依赖。 2. 在Spring Security的配置类中,可以通过使用`headers()`方法来配置X-Frame-Options...
spring security 关闭 X-Frame-Options
07-20
您可以在Spring Security中关闭X-Frame-Options的方式是通过配置`Content-Security-Policy`来代替,具体操作如下: 1. 在Spring Security的配置类或者XML配置文件中添加以下代码: ```java @EnableWebSecurity ...
springBoot springSecurty: x-frame-options deny禁止iframe调用
tonysh_zds的博客
11-30 2026
springBoot springSecurty: x-frame-options deny禁止iframe调用 https://blog.csdn.net/whiteforever/article/details/73201586 项目中用到iframe嵌入网页,然后用到springsecurity就被拦截了 浏览器报错 x-frame-options deny 原因是因为springSecurty使用X-Frame-Options防止网页被Frame 1 .headers().frameOption
使用Iframe时针对X-Frame-Options问题的解决方案-Nginx(亲测有效)
热门推荐
weixin_44588243的博客
04-28 2万+
只需一个配置,轻松解决X-Frame-Options问题 效果展示: 1、存在问题: 2、解决问题 对iframe引入的http://com.ityj.frame/xframe/hello项目,通过nginx过滤掉X-Frame-Options的配置 操作如下: location / { #root html; #index index.html index.htm; proxy_pass http://com.ityj.frame; proxy_hide_header X-Fr
记一次fream嵌套问题(X-Frame-Options,SameSite)
qq_41809490的博客
08-12 2727
Refused to display 'http://www.xxx.xxx/xxx/xxx'in a frame because it set 'X-Frame-Options' to 'someorigin'. X-Frame-Options 有三个值:DENY 表示该页面不允许在 frame 中展示,即便是在相同名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同名页面的 frame 中展示。 ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。 测.
关于spring security上使用ifame时候禁止
qq_35869492的博客
04-14 588
Refused to display 'http://localhost:8080/hello' in a frame because it set 'X-Frame-Options' to 'deny'.把这个问题也贴成文字方便搜索。最近闲的无聊,公司项目也完成了,因此有空了捡起放下已久的java,看了一下spring boot 和spring security,学习一下。用这两个和easyui...
X-Frame-Options响应头防点击劫持
道阻且长,行则将至
02-21 8627
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 未配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
HTTP协议 - X-frame-options
frag0910的专栏
06-28 2386
防止某些重要网页被其他网站框架(iframe)导入,可以给页面增加X-Frame-Options响应头,这样浏览器会依据X-Frame-Options的值来控制iframe框架的页面是否允许加载显示出来。 修改web服务器配置,添加X-frame-options响应头。赋值有如下三种: (1)DENY:不能被嵌入到任何iframeframe中。 (2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。 (3)ALLOW-FROM uri:只能被嵌入到指定名的框架中。 如果不
iframe嵌套页面 拒绝访问 X-Frame-Options配置
天生欧皇张狗蛋
04-19 4796
deny 表示该页面不允许在 frame 中展示,即便是在相同名的页面中嵌套也不允许。sameorigin 表示该页面可以在相同名页面的 frame 中展示。allow-from uri 表示该页面可以在指定来源的 frame 中展示。
springsecurity中处理框架页
jackyrongvip的专栏
02-18 453
X-Frame-Options 响应头 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;, &lt;/iframe&gt; 或者 &lt;object&gt; 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 使用 X-Frame-Option...
Web安全漏洞 X-Frame-Options
慢谈人生
11-26 2694
<system.webServer> <!-- Web安全漏洞: 网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去, 也从而避免了点击劫持 (clickjacking) 的攻击。 1.X-Frame-Options 响应头有三个可选的值: DENY:页面不能被嵌入到任何iframeframe中; SAMEORIGIN:页面只能被本站页面嵌入到if...
SpringSecurity学习笔记之六:保护视图
zhoucheng05_13的博客
03-05 3939
Spirng Security本身提供了一个JSP标签库,而Thymeleaf通过特定的方言实现了与Spring Security的集成。使用Spring Security的JSP标签库Spring Security的JSP标签库很小,只包含是三个标签: 为了使用JSP标签库,需要在JSP中声明它:<%@ taglib prefix="security" uri="http://www.sprin
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值