在Security下,X-Frame-Options默认为DENY,非Spring
Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置参数含义如下:
-
DENY:浏览器拒绝当前页面加载任何Frame页面
-
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
-
ALLOW-FROM:origin为允许frame加载的页面地址。
解决方法:在security下的解决方式很简单,修改security的frameOptions参数为sameOrigin即可。
http.headers().frameOptions().sameOrigin();
参考来源:https://blog.csdn.net/dg357442101/article/details/80738596