X-Frame-Options Spring Security 跨域访问问题!

最新推荐文章于 2024-09-18 18:57:05 发布
最新推荐文章于 2024-09-18 18:57:05 发布
阅读量1.3w 收藏 6
点赞数 1
分类专栏: Java Web开发 文章标签: X-Frame-Options tomcat Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DavyLee2008/article/details/61420751
版权
本文探讨了在Spring Security框架下遇到的X-Frame-Options跨域访问问题。默认设置为DENY,阻止了页面在Frame中加载。在Tomcat 8及以上版本,可以通过修改web.xml配置filter来设定X-Frame-Options,但实践中发现Spring Security的DENY配置仍然生效。解决方案是调整Spring Security的配置,以允许特定来源的Frame加载。另外,文中提及可以通过自定义filter实现相同功能,但未进行验证。
摘要由CSDN通过智能技术生成

   关于X-Frame-Options的配置,从网上搜索资料,大部分都描述了Apache、Ngix、IIS如何配置此项,但常用的tomcat如何配置?涉及Spring Security如何处理?这类问题还是没有找到现成的方案,动手折腾好了,遂整理下来,供自己和别人参考!    

    Spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:

    DENY:浏览器拒绝当前页面加载任何Frame页面
    SAMEORIGIN:frame页面的地址只能为同源域名下的页面
    ALLOW-FROM:origin为允许frame加载的页面地址。

    在tomcat8以后的版本中,可以通过在web.xml中定义filter设置X-Frame-Options,如下:

    <filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <init-param>
            <param-name>antiClickJackingOption</param-name>
            <param-value>SAMEORIGIN</p
最低0.47元/天 解锁文章
金钱大法师
关注
专栏目录
Spring Security设置X-Frame-Options响应头
mt23
08-25 4931
前言 被Security管理的接口中,其中可能包含html页面,而前端在开发时,可能使用frame标签。为了系统安全性,默认情况下X-Frame-Options是禁止的。 HTTP 响应头X-Frame-Options 说明 X-Frame-Options HTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面<frame>,<iframe>或<object>。通过确保其内容未嵌入其他网站,网站可以使用此功能来避免 点击劫持 攻击 取值说明
nginx 跨域设置, X-Frame-Options
lihailin8的专栏
04-07 3675
X-Frame-Options 响应头 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 X-Frame-Options ...
nginx设置X-Frame-Options
weixin_46742102的博客
08-23 864
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示。SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示。重新加载:nginx -s reload。
Spring Security禁用X-Frame-Options
最新发布
2401_85480529的博客
09-18 276
Spring Security 中用来配置 HTTP 头的安全选项,具体用于禁用浏览器的。中加载页面(例如,嵌入其他页面或允许外部页面嵌入你的网站),你需要禁用这个选项。默认情况下,Spring Security 会为所有响应添加。,你可以关闭 Spring Security 默认设置的。在某些情况下,如果你的网站或应用程序需要在。它通过控制浏览器是否允许页面在。加载,从而避免点击劫持攻击。中,而不会被浏览器阻止。,因此页面可以被嵌入到。中被加载来保护用户。,表示页面不能被任何。
通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白
一个爱搞技术的C.的博客
12-01 1591
springSecurity下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下: DENY:浏览器拒绝当前页面加载任何Frame页面 SAMEORIGIN:frame页面的地址只能为同源域名下的页面 ALLOW-FROM:origin...
使用Iframe时针对X-Frame-Options跨域问题的解决方案-Nginx(亲测有效)
热门推荐
weixin_44588243的博客
04-28 1万+
只需一个配置,轻松解决X-Frame-Options跨域问题 效果展示: 1、存在问题: 2、解决问题 对iframe引入的http://com.ityj.frame/xframe/hello项目,通过nginx过滤掉X-Frame-Options的配置 操作如下: location / { #root html; #index index.html index.htm; proxy_pass http://com.ityj.frame; proxy_hide_header X-Fr
记一次fream嵌套跨域问题(X-Frame-Options,SameSite)
qq_41809490的博客
08-12 2601
Refused to display 'http://www.xxx.xxx/xxx/xxx'in a frame because it set 'X-Frame-Options' to 'someorigin'. X-Frame-Options 有三个值:DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。 测.
关于nginx的HTTP Response响应头字段X-Frame-Options,报错CORS
qq_42869878的博客
10-13 1861
关于nginx的HTTP Response响应头字段X-Frame-Options 什么是X-Frame-Options HTTP有一个特殊的Response响应头字段X-Frame-Options,它可以指示是否允许浏览器在<iframe>、<frame>、<embed>和<object>里渲染。许多站点可以利用这个头字段避免clickjacking的攻击,这是一个浏览器安全问题,简单来说就是可以使用程序模拟用户恶意点击页面相关的DOM元素,比如在登录页
spring security怎么配置的X-Frame-Options
04-20
Spring Security中配置X-Frame-Options可以通过以下步骤进行: 1. 首先,确保你的项目中已经引入了Spring Security的依赖。 2. 在Spring Security的配置类中,可以通过使用`headers()`方法来配置X-Frame-Options...
spring security 关闭 X-Frame-Options
07-20
您可以在Spring Security中关闭X-Frame-Options的方式是通过配置`Content-Security-Policy`来代替,具体操作如下: 1. 在Spring Security的配置类或者XML配置文件中添加以下代码: ```java @EnableWebSecurity ...
HTTP协议 - X-frame-options
frag0910的专栏
06-28 2163
防止某些重要网页被其他网站框架(iframe)导入,可以给页面增加X-Frame-Options响应头,这样浏览器会依据X-Frame-Options的值来控制iframe框架的页面是否允许加载显示出来。 修改web服务器配置,添加X-frame-options响应头。赋值有如下三种: (1)DENY:不能被嵌入到任何iframeframe中。 (2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。 (3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 如果不
iframe嵌套页面 拒绝访问 X-Frame-Options配置
天生欧皇张狗蛋
04-19 2116
deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。sameorigin 表示该页面可以在相同域名页面的 frame 中展示。allow-from uri 表示该页面可以在指定来源的 frame 中展示。
springsecurity中处理框架页
jackyrongvip的专栏
02-18 366
X-Frame-Options 响应头 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;, &lt;/iframe&gt; 或者 &lt;object&gt; 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 使用 X-Frame-Option...
Web安全漏洞 X-Frame-Options
慢谈人生
11-26 2554
<system.webServer> <!-- Web安全漏洞: 网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去, 也从而避免了点击劫持 (clickjacking) 的攻击。 1.X-Frame-Options 响应头有三个可选的值: DENY:页面不能被嵌入到任何iframeframe中; SAMEORIGIN:页面只能被本站页面嵌入到if...
SpringSecurity学习笔记之六:保护视图
zhoucheng05_13的博客
03-05 3869
Spirng Security本身提供了一个JSP标签库,而Thymeleaf通过特定的方言实现了与Spring Security的集成。使用Spring Security的JSP标签库Spring Security的JSP标签库很小,只包含是三个标签: 为了使用JSP标签库,需要在JSP中声明它:<%@ taglib prefix="security" uri="http://www.sprin
The X-Frame-Options response header
rodpeng的专栏
04-01 869
From: https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options The X-Frame-Options HTTP response header can be used to indicate whether or not a browser should be allowed to render a page in
解决iframe 请求security出现X-Frame-Options
我是一只蘑菇17的博客
09-27 1278
>>>> Springboot 2.x 要在继承了 WebSecurityConfigurerAdapter 的配置类中配置。插入.and().headers().frameOptions().在开发SpringSecurity配置的项目时,返回带有。结合SpringBoot只要在页面访问控制的配置中加上。()//防止iframe内容无法显示,解决问题!()//防止iframe内容无法显示。的页面时,无法显示。打开页面工具看到提示。
Spring Security配置 解决X-Frame-Options deny 造成的页面空白 iframe调用问题
xqhys的博客
02-13 3280
转载:http://www.cnblogs.com/zmc/p/8260786.html spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:     DENY:浏览器拒绝当前页面加载任何Frame页面  ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值