通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白

最新推荐文章于 2024-06-14 07:32:52 发布
最新推荐文章于 2024-06-14 07:32:52 发布
阅读量6k 收藏 2
点赞数 1
分类专栏: spring-security

原文转自:http://blog.csdn.net/princeluan/article/details/73268637
spring Security下,X-Frame-Options默认为DENY,非spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:origin为允许frame加载的页面地址。
在tomcat8以后的版本中,可以通过在web.xml中定义filter设置X-Frame-Options,如下:

<filter>  
    <filter-name>httpHeaderSecurity</filter-name>  
    <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>  
    <init-param>  
        <param-name>antiClickJackingOption</param-name>  
        <param-value>SAMEORIGIN</param-value>  
    </init-param>  
    <async-supported>true</async-supported>  
</filter>  

<filter-mapping>  
    <filter-name>httpHeaderSecurity</filter-name>  
    <url-pattern>/*</url-pattern>  
</filter-mapping>

方法二:

<security:http auto-config="true" use-expressions="true">
<security:headers>
   <security:frame-options policy="SAMEORIGIN"/>
</security:headers>

security中的X-Frame-Options的默认DENY改掉了!

qq305933616
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
为了防范这种攻击,网站管理员应该在服务器端配置X-Frame-Options头,指示浏览器是否允许页面frame或iframe显示。X-Frame-Options头有三种可能的值: 1. **DENY**:不允许任何域加载此页面,包括同一域下的页面...
X-Frame-Options相关文件
08-27
in a frame because it set 'X-Frame-Options' to 'deny'",意味着在某个特定的场景下,一个网页没有设置X-Frame-Options头,或者设置了值为'deny'的X-Frame-Options头,这表明该网页不允许被嵌入到任何其他页面的...
SringSecurity5.7(最新)设置X-Frame-Options
Wong_H的博客
09-25 1064
SringSecurity5.7(最新)设置X-Frame-Options
通过 Spring Security配置 解决X-Frame-Options deny 造成页面空白 iframe调用问题
weixin_33724059的博客
01-10 730
 spring Security下,X-Frame-Options默认DENY,非Spring Security环境下,X-Frame-Options默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:     DENY:浏览器拒绝当前页面加载任何Frame页面    SAMEORIGIN:frame页面的地址只能为同源域名下的页面    ALLOW-F...
安全头响应头(二)​X-Frame-Options
最新发布
dzqxwzoe的博客
06-14 1185
一 [X-Frame-Options](https://developer.mozilla.org/en-①[相关参考 ](https://learn.microsoft.com/zh-cn/archive/blogs/ieinternals/combating-clickjacking-with-x-frame-options "相关参考 ")② 简介③ 语法④ 案例。
解决iframe 请求security出现X-Frame-Options
我是一只蘑菇17的博客
09-27 1249
>>>> Springboot 2.x 要在继承了 WebSecurityConfigurerAdapter 的配置配置。插入.and().headers().frameOptions().在开发SpringSecurity配置的项目时,返回带有。结合SpringBoot只要在页面访问控制的配置加上。()//防止iframe内容无法显示,解决问题!()//防止iframe内容无法显示。的页面时,无法显示。打开页面工具看到提示。
X-Frame-Options简介
热门推荐
zzhongcy的专栏
05-06 5万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。 网上查了查资料,这里记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应头是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
Django开发“ 'X-Frame-Options' to 'deny'“报错处理
ora_dy的博客
03-20 4031
在Django开发过程出现报错 Refused to display 'http://127.0.0.1:8000/index/welcome.html' in a frame because it set 'X-Frame-Options' to 'deny'. 由于借用的是开源模板,百度查询到的问题是frame架构间人攻击的相关bug,但是全是Java的解决方案。找了好久,在谷歌上找到...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
X-Frame-Options 是一种安全性设置,用于防止恶意网站通过`iframe`或`frame`标签将你的网页嵌入到他们的页面,从而实施点击劫持(Clickjacking)攻击。点击劫持是一种网络欺诈技术,攻击者将一个透明或半透明的...
x-frame-bypass:绕过X帧选项
05-10
通常,`X-Frame-Options`有三个可能的值:`DENY`、`SAMEORIGIN`和`ALLOW-FROM`。 1. `DENY`:禁止任何网站将页面加载到IFrame。 2. `SAMEORIGIN`:只允许同源策略下的页面加载,即只有与发送该头部的页面在同一...
iis、apache、nginx使用X-Frame-Options防止网页被Frame解决方法
09-30
除了X-Frame-Options,还可以使用Content-Security-Policy (CSP) 的`frame-ancestors`指令来更精细地控制页面的嵌入行为。然而,X-Frame-Options是更简单且广泛支持的解决方案,适用于大部分情况。 此外,虽然...
koa-xframe:适用于Koa的X-Frame-Options HTTP响应标头实用程序
04-30
:light_bulb: 该间件是为 v2.xx设计的,并使用来...// default settings -> set X-Frame-Options to 'DENY'app . use ( xFrame ( ) ) ;// custom settings// -> set X-Frame-Options to 'DENY'app . use ( xFrame (
X-Frame-Options头缺失漏洞修复-esapi.zip
07-17
在给定的场景,"X-Frame-Options头缺失漏洞修复-esapi.zip" 提供了一个解决方案,即使用ClickjackFilter.jar。这个过滤器是Enterprise Security API (ESAPI) 的一部分,ESAPI 是一个开源的安全库,旨在为Java应用...
framebusting:一个简单的演示,展示了如何使用“X-Frame-Options”来帮助防止点击劫持
06-08
结果好的站点上的页面提供X-Frame-Options标头设置为sameorigin 。 当坏站点试图从框架的好站点加载页面时,为了点击劫持,浏览器会阻止这种情况发生。 好的站点仍然可以将自己的页面加载到框架。什么代码?! ...
X-Frame-Option.rar
09-15
在这个场景下,它可能详述了如何配置和启用ESAPI来设置X-Frame-Options头,或者提供了针对特定环境的解决方案。 为了保护网站免受点击劫持,X-Frame-Options头可以设置为以下几种值: 1. `DENY`:阻止任何页面在...
springsecurity使用demo
03-03
Spring Security ,我们通常通过 Java 配置或 XML 配置来设置安全规则。在 Java 配置,我们可以创建一个 `WebSecurityConfigurerAdapter` 的子类,并重写其 `configure(HttpSecurity http)` 方法来定义安全...
嵌套页面访问 X-Frame-OptionsDENY
weixin_46883180的博客
06-08 327
嵌套页面访问 X-Frame-Options "DENY"
in a frame because it set ‘X-Frame-Options‘ to ‘deny‘ 问题解决
LeeTom208的博客
08-18 8083
in a frame because it set 'X-Frame-Options' to 'deny' 问题解决 我们先百度一下X-Frame-Options文文档 从上面我们可以看到既然该页面不允许在frame框架展示,那我们就用新标签页的方式打开即可。这个有多种方法,前端修改,或者js来修改链接属性target="_blank",我项目是采用后端服务器代码的修改。 ...
http安全头配置
zxl1990_ok的博客
07-06 924
X-Frame-Options X-Frame-Options 响应头是用来给浏览器指示允许一个页面 可否在 <frame>,<iframe>,<embed>或者<object>展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免点击劫持攻击。 功能 防御点击劫持。如果恶意的站点将你的网页嵌入iframe标签,然后诱使用户在该站点上进行操作,此时用户将在不知情的情况下点击透明的iframe页面,从而诱使用户恰好点击在ifram...
spring security怎么配置的X-Frame-Options
04-20
Spring Security配置X-Frame-Options可以通过以下步骤进行: 1. 首先,确保你的项目已经引入了Spring Security的依赖。 2. 在Spring Security配置,可以通过使用`headers()`方法来配置X-Frame-Options。例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .headers() .frameOptions() .sameOrigin(); // 设置X-Frame-Options为SAMEORIGIN } } ``` 在上述示例,`sameOrigin()`方法将X-Frame-Options设置为SAMEORIGIN,表示只允许在相同的域名下加载页面。 3. 如果你想完全禁止在iframe加载页面,可以使用`deny()`方法。例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .headers() .frameOptions() .deny(); // 完全禁止在iframe加载页面 } } ``` 这样配置后,服务器会在响应头添加X-Frame-Options字段,告诉浏览器如何处理页面的加载方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值