通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白

   spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:

    DENY:浏览器拒绝当前页面加载任何Frame页面
    SAMEORIGIN:frame页面的地址只能为同源域名下的页面
    ALLOW-FROM:origin为允许frame加载的页面地址。

    在tomcat8以后的版本中,可以通过在web.xml中定义filter设置X-Frame-Options,如下:

[java]  view plain  copy
  1. <filter>  
  2.     <filter-name>httpHeaderSecurity</filter-name>  
  3.     <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>  
  4.     <init-param>  
  5.         <param-name>antiClickJackingOption</param-name>  
  6.         <param-value>SAMEORIGIN</param-value>  
  7.     </init-param>  
  8.     <async-supported>true</async-supported>  
  9. </filter>  
  10.   
  11. <filter-mapping>  
  12.     <filter-name>httpHeaderSecurity</filter-name>  
  13.     <url-pattern>/*</url-pattern>  
  14. </filter-mapping>  

   方法二:

<security:http auto-config="true" use-expressions="true">
    <security:headers>
        <security:frame-options policy="SAMEORIGIN"/>
    </security:headers>


security中的X-Frame-Options的默认DENY改掉了!

©️2020 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页
实付 9.90元
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值