通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白

最新推荐文章于 2024-04-19 11:34:01 发布
最新推荐文章于 2024-04-19 11:34:01 发布
阅读量2.5w 收藏 13
点赞数 3
分类专栏: Java开发 文章标签: spring security
本文为博主原创文章,未经博主允许欢迎转载。
本文链接:https://blog.csdn.net/princeLuan/article/details/73268637
版权

   spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:

    DENY:浏览器拒绝当前页面加载任何Frame页面
    SAMEORIGIN:frame页面的地址只能为同源域名下的页面
    ALLOW-FROM:origin为允许frame加载的页面地址。

    在tomcat8以后的版本中,可以通过在web.xml中定义filter设置X-Frame-Options,如下:

[java]  view plain  copy
  1. <filter>  
  2.     <filter-name>httpHeaderSecurity</filter-name>  
  3.     <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>  
  4.     <init-param>  
  5.         <param-name>antiClickJackingOption</param-name>  
  6.         <param-value>SAMEORIGIN</param-value>  
  7.     </init-param>  
  8.     <async-supported>true</async-supported>  
  9. </filter>  
  10.   
  11. <filter-mapping>  
  12.     <filter-name>httpHeaderSecurity</filter-name>  
  13.     <url-pattern>/*</url-pattern>  
  14. </filter-mapping>  

   方法二:

<security:http auto-config="true" use-expressions="true">
    <security:headers>
        <security:frame-options policy="SAMEORIGIN"/>
    </security:headers>


security中的X-Frame-Options的默认DENY改掉了!

HiGaga~
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security设置X-Frame-Options响应头
mt23
08-25 4836
前言 被Security管理的接口中,其中可能包含html页面,而前端在开发时,可能使用frame标签。为了系统安全性,默认情况下X-Frame-Options是禁止的。 HTTP 响应头X-Frame-Options 说明 X-Frame-Options HTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面<frame>,<iframe>或<object>。通过确保其内容未嵌入其他网站,网站可以使用此功能来避免 点击劫持 攻击 取值说明
X-Frame-Options相关文件
08-27
in a frame because it set 'X-Frame-Options' to 'deny'",意味着在某个特定的场景下,一个网页没有设置X-Frame-Options头,或者设置了值为'deny'的X-Frame-Options头,这表明该网页不允许被嵌入到任何其他页面的...
SpringSecurity限制iframe引用页面。出现X-Frame-Options deny问题
小旭的博客
07-20 8580
由于项目中集成了springSecurity框架,导致页面无法被iframe引用。 网上解决办法很两种,一种是修改web.xml,增加fiflter过滤器,我试了并没解决问题。 Spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Fra...
iframe嵌套页面 拒绝访问 X-Frame-Options配置
天生欧皇张狗蛋
04-19 1040
deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。sameorigin 表示该页面可以在相同域名页面的 frame 中展示。allow-from uri 表示该页面可以在指定来源的 frame 中展示。
Spring Security配置 解决X-Frame-Options deny 造成页面空白 iframe调用问题
xqhys的博客
02-13 3227
转载:http://www.cnblogs.com/zmc/p/8260786.html spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:     DENY:浏览器拒绝当前页面加载任何Frame页面  ...
springsecurity中处理框架页
jackyrongvip的专栏
02-18 344
X-Frame-Options 响应头 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;, &lt;/iframe&gt; 或者 &lt;object&gt; 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 使用 X-Frame-Option...
SringSecurity5.7(最新)设置X-Frame-Options
Wong_H的博客
09-25 1021
SringSecurity5.7(最新)设置X-Frame-Options
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
X-Frame-Options 是一种安全性设置,用于防止恶意网站通过`iframe`或`frame`标签将你的网页嵌入到他们的页面中,从而实施点击劫持(Clickjacking)攻击。点击劫持是一种网络欺诈技术,攻击者将一个透明或半透明的...
x-frame-bypass:绕过X帧选项
05-10
通常,`X-Frame-Options`有三个可能的值:`DENY`、`SAMEORIGIN`和`ALLOW-FROM`。 1. `DENY`:禁止任何网站将页面加载到IFrame中。 2. `SAMEORIGIN`:只允许同源策略下的页面加载,即只有与发送该头部的页面在同一...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
除了X-Frame-Options,还可以使用Content-Security-Policy (CSP) 中的`frame-ancestors`指令来更精细地控制页面的嵌入行为。然而,X-Frame-Options是更简单且广泛支持的解决方案,适用于大部分情况。 此外,虽然...
springBoot springSecurty x-frame-options deny
静故了群动
02-17 4267
项目中用到iframe嵌入网页,然后用到springsecurity就被拦截了 浏览器报错  x-frame-options deny    spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:     D...
嵌套页面访问 X-Frame-OptionsDENY
weixin_46883180的博客
06-08 318
嵌套页面访问 X-Frame-Options "DENY"
Spring Boot Activiti 由于“X-Frame-Options“指令设为“DENY“ 跨域问题
上班搞IT,下班搞ITF。
09-10 1609
@Override public void configure(HttpSecurity http) throws Exception { //放开所有资源请求URL http.authorizeRequests().antMatchers("/*").permitAll(); //取消csrf防护 http.csrf().disable(); // X-Frame-Options 响应头跨域,主要是这句 http.headers().frameOptions()...
spring security】允许iframe嵌套:because it set 'X-Frame-Options' to 'deny'.
the_fool_的博客
03-09 1470
版本信息: 错误描述:because it set 'X-Frame-Options' to 'deny'. 方案如下: 重写WebSecurityConfigurerAdapter 中的configure方法,关闭frameOptions import org.springframework.context.annotation.Configuration; import or...
springBoot springSecurty导致的x-frame-options值为deny问题及跨域问题处理方法
txp1993的专栏
12-24 1万+
1.问题解释说明: X-Frame-OptionsHTTP响应头是用来给浏览器 指示允许一个页面 可否在<frame>,<iframe>,<embed>或者<object>中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免被攻击。 X-Frame-Options有三个可能的值: X-Frame-Option...
解决SpringSecurity限制iframe引用页面的问题
一个爱搞技术的C.的博客
12-03 878
使用Spring Security的过程中,需要使用iframe来引入其他域的页面页面会报X-Frame-Options的错误,试了好几种方法一直未能很好的解决这个问题。 这里涉及到Spring Security的一个配置Spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY...
X-Frame-Options
hjh_cos
10-30 7534
X-Frame-Options 最近在 django 的项目中做相同域名内嵌网页时,出现了Refused to display 'http://127.0.0.1/' in a frame because it set 'X-Frame-Options' to 'deny'.的错误,这使得我的内嵌网页无法显示在同域名的网页上。 因此这篇文章将会记录一些我查资料所了解它的情况。 介绍 X-Frame-Options HTTP响应头是用来给浏览器指示允许一个页面可否在<frame>,<ifr
Web安全漏洞 之 X-Frame-Options响应头配置
热门推荐
xp_lx12的博客
06-13 4万+
原理】配置http的响应头信息:属性名X-Frame-Options。可以配置的参数有两个:X-Frame-Options 响应头有三个可选的值:DENY页面不能被嵌入到任何iframe或frame中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frame或frame加载。在服务端设置的方式如下:Java代码:response.add...
spring security怎么配置X-Frame-Options
最新发布
04-20
Spring Security配置X-Frame-Options可以通过以下步骤进行: 1. 首先,确保你的项目中已经引入了Spring Security的依赖。 2. 在Spring Security配置类中,可以通过使用`headers()`方法来配置X-Frame-Options...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值