spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:origin为允许frame加载的页面地址。
在tomcat8以后的版本中,可以通过在web.xml中定义filter设置X-Frame-Options,如下:
方法二:
<security:http auto-config="true" use-expressions="true"> <security:headers> <security:frame-options policy="SAMEORIGIN"/> </security:headers>
security中的X-Frame-Options的默认DENY改掉了!