Spring Security:Refused to display 'http://**' in a frame because it set 'X-Frame-Options' to 'deny'

最新推荐文章于 2024-07-30 09:40:52 发布
最新推荐文章于 2024-07-30 09:40:52 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: Java Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s_g_s/article/details/79227701
版权

在整合Spring Security时,页面的iframe出现这个错误:

Refused to display 'http://**' in a frame because it set 'X-Frame-Options' to 'deny'

解决:

在继承WebSecurityConfigurerAdapter的子类的覆盖方法configure(HttpSecurity)里面添加:

http.headers().frameOptions().sameOrigin()

frameOptions()会返回一个HeadersConfigurer对象,看它的类注释:

 * <p>
 * Adds the Security HTTP headers to the response. Security HTTP headers is activated by
 * default when using {@link WebSecurityConfigurerAdapter}'s default constructor.
 * </p>
 *
 * <p>
 * The default headers include are:
 * </p>
 *
 * <pre>
 * Cache-Control: no-cache, no-store, max-age=0, must-revalidate
 * Pragma: no-cache
 * Expires: 0
 * X-Content-Type-Options: nosniff
 * Strict-Transport-Security: max-age=31536000 ; includeSubDomains
 * X-Frame-Options: DENY
 * X-XSS-Protection: 1; mode=block
 * </pre>

从中可以得知默认的iframe加载是DENY,导致了页面上出现错误。

 

sameOrigin()的注释是这样子的:

/**

* <p>

* Specify to allow any request that comes from the same origin to frame this

* application. For example, if the application was hosted on example.com, then

* example.com could frame the application, but evil.com could not frame the

* application.

* </p>

*

* @return

*/

 

从注释中我们知道sameOrigin()方法表示允许同源请求加载iframe。

 

也可以添加以下内容来实现:

http.headers().frameOptions().disable()

注释:

/**
* Prevents the header from being added to the response.
*
* @return the {@link HeadersConfigurer} for additional configuration.
*/

这样就相当于把默认要添加到响应头信息中的内容全阻止、禁用掉了。

潜龙勿用亢龙有悔
关注
专栏目录
SpringSecurity不允许在frame中展示的问题
专业的计算机毕业设计指南
09-04 317
异常问题 Refused to display 'http://localhost:8080/xxx' in a frame because it set 'X-Frame-Options' to 'DENY' Spring Security4默认是将’X-Frame-Options’ 设置为 ‘DENY’ 所以重新配置下SpringSecurity, 在<http>标签内添加配置: <headers> <frame-options policy="SAMEORIGI
关于nginx的HTTP Response响应头字段X-Frame-Options,报错CORS
qq_42869878的博客
10-13 1848
关于nginx的HTTP Response响应头字段X-Frame-Options 什么是X-Frame-Options HTTP有一个特殊的Response响应头字段X-Frame-Options,它可以指示是否允许浏览器在<iframe>、<frame>、<embed>和<object>里渲染。许多站点可以利用这个头字段避免clickjacking的攻击,这是一个浏览器安全问题,简单来说就是可以使用程序模拟用户恶意点击页面相关的DOM元素,比如在登录页
Spring SecurityRefused to display '<URL>' in a frame because it set 'X-Frame-Options' to 'deny'.
建设美丽祖国
04-06 1680
Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置参数含义如下: DENY:浏览器拒绝当前页面加载任何Frame页面 SAMEORIGIN:frame页面的地址只能为同源域名下的页面 ALLOW-FROM:ori...
django-iframe-子框架包含-拒绝问题-in a frame because it set ‘X-Frame-Option
最新发布
插件开发
07-30 240
如果框架拒绝显示,一般是安全设置问题或者跨域问题。
Refused to displayhttp://...‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny‘.解决方式
kejizhentan的博客
02-06 2万+
在使用springsecurity时候经常会出现Refused to displayhttp://localhost:9999/admin/toAdminWelcome’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.错误,只需要做以下设置即可: http.headers().frameOptions().sameOrigin(); 有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-O.
spring security】允许iframe嵌套:because it set 'X-Frame-Options' to 'deny'.
the_fool_的博客
03-09 1551
版本信息: 错误描述:because it set 'X-Frame-Options' to 'deny'. 方案如下: 重写WebSecurityConfigurerAdapter 中的configure方法,关闭frameOptions import org.springframework.context.annotation.Configuration; import or...
Python,Django报错:Refused to display ‘url‘ in a frame because it set ‘X-Frame-Options‘ to ‘DENY
Zhang Phil
01-03 925
Python,Django报错:Refused to display ‘url’ in a frame because it set ‘X-Frame-Options’ to ‘DENY’ 解决方案: 在settings.py代码文件里面增加一行配置: X_FRAME_OPTIONS = 'ALLOWALL'
Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'.
YangFanJ的博客
06-29 1万+
说明:前端使用layui。tab嵌套iframe,在加入security之前并无异常。springmvc 在整合spring security时,浏览器发送请求,出现解决:在继承WebSecurityConfigurerAdapter的子类的覆盖方法configure(HttpSecurity)里面添加:http.headers().frameOptions().sameOrigin();百度查找...
layui 的嵌套页面异常Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘DENY
尽力漂亮的博客
10-15 675
响应头中X-Frame-Options被设置为DENY,如下图 解决方案: import org.springframework.boot.autoconfigure.EnableAutoConfiguration; import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration; import org.springframework.context.annotation.Configura
spring-security-debug日记
qq_43876243的博客
08-04 491
1、前端页面报错:index.html:1 Refused to displayhttp://localhost:8080/admin-list.html’ in a frame because it set ‘X-Frame-Options’ to ‘deny’. 后端可以查询 网上查询说是跨域问题; 添加此配置 @EnableWebSecurity @Configuration public class WebSecurityConfig extends DefaultWebSecurityCon
uniapp 运行 webview 报:Refused to displayhttps://***‘ in a frame because it set ‘X-Frame-O
myangelzyh的博客
01-11 1185
本地运行uiniapp 项目时,webview打开第三方url报错:Refused to display '主要原因是本地运行时在浏览器中,Iframe在浏览器中会有同源策略,导致的。uniapp打包后,在客户端运行就不会出现这种问题了。
Spring Boot 出现 in a frame because it set ‘X-Frame-Options‘ to ‘DENY
tarenadjq的专栏
08-25 705
spring boot项目中出现不能加载iframe 页面报一个"Refused to displayhttp://......‘ in a frame because it set ‘X-Frame-Options‘ to ‘DENY‘."错误 解决方式: 因spring Boot采取的java config,在配置spring security的位置添加: #解决frame 不能使用 http.headers().frameOptions().disable(); http..
Refused to displayhttps://xxx.com.cn‘ in a frame because it set ‘X-Frame-Options‘ to ‘sameorigin‘
luochuanrong的博客
02-23 4981
Android5.0+ webView+vue,使用iframe加载云端文档URL时出现了报错,加载网页失败 由于响应头添加X-Frame-Option为’SAMEORIGIN’,导致了问题的产生 解决办法: 1、服务器修改配置 2、我们可以在webView中忽略X-Frame-Option,示例代码 如下 首先,在app/build.gradle中引入依赖 api 'org.jsoup:jsoup:1.12.1' 其次,在webViewClient中配置 webView.setWebViewClient
Refused to display ‘‘ in a frame because it set ‘X-Frame-Options‘ to ‘sameorigin‘
qq_53513969的博客
05-30 922
Refused to display '' in a frame because it set 'X-Frame-Options' to 'sameorigin'
Refused to display '' in a frame because it set 'X-Frame-Options' to 'sameorigin'
lilongan_1的博客
10-23 1万+
x-frame-options 出现的问题 夸子系统访问其他子系统的界面(用iframe嵌套,子系统间有一键登录),用iframe嵌套访问springboot项目的中的某个界面时报Refused to display ‘’ in a frame because it set ‘X-Frame-Options’ to ‘sameorigin’.。 出现问题的原因 这是因不支持iframe嵌入, 这个...
解决 Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘deny‘.问题
rainux
02-22 6897
Code Is Never Die ! 问题: 在做iframe预览PDF文件时,虽然nginx配置了X-Frame-Options SAMEORIGIN,但在iframe中仍然获取不到内容。 介绍:X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 frame , iframe 或者 object 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 只有当用户使用支持X-Frame-
2.Refused to displayhttp:...‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny
豆豆豆豆芽的博客
10-26 1万+
这个问题会导致内置页面无法加载 这是由于打开了apache服务器配置文件里的X-Frame-Options配置模块 只需要进入apache文件里的httpd.conf配置文件里,把这一行注释掉即可正常加载 改完配置文件后的结果为: ...
Refused to display in a frame because it set 'X-Frame-Options' to 'DENY'的解决办法
热门推荐
夜空中最亮的星
06-19 2万+
1、https://blog.csdn.net/fl_zxf/article/details/51100599 2、https://blog.csdn.net/jiangyang100/article/details/79452419
Refused to display xxx in a frame because it set X-Frame-Options to deny
07-27
X-Frame-Options是一个HTTP响应头,用于指示浏览器是否允许将页面嵌入到frame、iframe或object中展示。当一个页面设置了X-Frame-Optionsdeny时,浏览器会拒绝在frame中展示该页面,即使是在相同域名的页面中也不允许。\[2\] 这个设置可以用来防止点击劫持攻击,即将一个网站的内容嵌入到另一个恶意网站中,以欺骗用户进行操作。\[3\] 如果你遇到了"Refused to display xxx in a frame because it set X-Frame-Options to deny"的错误,说明该页面设置了X-Frame-Optionsdeny,所以无法在frame中展示。这是一种安全措施,以保护网站的内容不被恶意利用。\[1\] 在开发中,你可以通过设置响应头的X-Frame-Options值来解决这个问题。例如,可以将X-Frame-Options设置为SAMEORIGIN,这样页面就可以在同域名页面的frame中嵌套展示。\[2\] #### 引用[.reference_title] - *1* [Refused to display 'xxx' in a frame because it set 'X-Frame-Options' to 'deny'.](https://blog.csdn.net/Absorbed66c/article/details/100914969)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [解决 Refused to display in a frame because it set 'X-Frame-Options' to 'deny'.问题](https://blog.csdn.net/lizy928/article/details/82535089)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值