Spring Security:Refused to display 'http://**' in a frame because it set 'X-Frame-Options' to 'deny'

最新推荐文章于 2024-09-03 19:00:00 发布
最新推荐文章于 2024-09-03 19:00:00 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: Java Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s_g_s/article/details/79227701
版权

在整合Spring Security时,页面的iframe出现这个错误:

Refused to display 'http://**' in a frame because it set 'X-Frame-Options' to 'deny'

解决:

在继承WebSecurityConfigurerAdapter的子类的覆盖方法configure(HttpSecurity)里面添加:

http.headers().frameOptions().sameOrigin()

frameOptions()会返回一个HeadersConfigurer对象,看它的类注释:

 * <p>
 * Adds the Security HTTP headers to the response. Security HTTP headers is activated by
 * default when using {@link WebSecurityConfigurerAdapter}'s default constructor.
 * </p>
 *
 * <p>
 * The default headers include are:
 * </p>
 *
 * <pre>
 * Cache-Control: no-cache, no-store, max-age=0, must-revalidate
 * Pragma: no-cache
 * Expires: 0
 * X-Content-Type-Options: nosniff
 * Strict-Transport-Security: max-age=31536000 ; includeSubDomains
 * X-Frame-Options: DENY
 * X-XSS-Protection: 1; mode=block
 * </pre>

从中可以得知默认的iframe加载是DENY,导致了页面上出现错误。

 

sameOrigin()的注释是这样子的:

/**

* <p>

* Specify to allow any request that comes from the same origin to frame this

* application. For example, if the application was hosted on example.com, then

* example.com could frame the application, but evil.com could not frame the

* application.

* </p>

*

* @return

*/

 

从注释中我们知道sameOrigin()方法表示允许同源请求加载iframe。

 

也可以添加以下内容来实现:

http.headers().frameOptions().disable()

注释:

/**
* Prevents the header from being added to the response.
*
* @return the {@link HeadersConfigurer} for additional configuration.
*/

这样就相当于把默认要添加到响应头信息中的内容全阻止、禁用掉了。

潜龙勿用亢龙有悔
关注
专栏目录
css样式无法加载Refused to apply style from ‘http://localhost:8080/static/css/style.css’ because its MIME
01-20
在开发Web应用时,我们经常会遇到“Refused to apply style from ‘URL’ because its MIME type is not a supported stylesheet MIME type”的错误,这个问题通常涉及到CSS样式表的加载问题。在这个具体的案例中,...
Refused to display '' in a frame because it set 'X-Frame-Options' to 'sameorigin'
lilongan_1的博客
10-23 1万+
x-frame-options 出现的问题 夸子系统访问其他子系统的界面(用iframe嵌套,子系统间有一键登录),用iframe嵌套访问springboot项目的中的某个界面时报Refused to display ‘’ in a frame because it set ‘X-Frame-Options’ to ‘sameorigin’.。 出现问题的原因 这是因不支持iframe嵌入, 这个...
Java工程报错:Refused to display URL in a frame because it set X-Frame-Options to deny及问题详解
雾林小妖的博客
09-03 219
springboot工程整合springSecurity报错:Refused to display URL in a frame because it set X-Frame-Options to deny及问题详解
关于嵌套使用 iFrame 出现 Refused to display in aframe 拒绝连接访问 和 ‘X-Frame-Options‘ to ‘SAMEORIGIN‘ 的解决方案【已解决】
热门推荐
XH_jing的博客
05-26 3万+
目录问题描述原因分析问题解决总结 今天在迁移旧项目时,出现了如下错误提示: Refused to display in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN' 问题描述 当前项目是一个生产环境正常运行的项目,由于我们要迁移服务器并且部署 k8s,所以需要重新部署上线该项目。 使用 iframe 的场景就是在一个容器中展示另一个页面(也是我们自己的页面,只不过域名不同)才会抛出这个错误。 这个项目的在测试环境和生产环境都是可以正
解决 Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘deny‘.问题
rainux
02-22 6926
Code Is Never Die ! 问题: 在做iframe预览PDF文件时,虽然nginx配置了X-Frame-Options SAMEORIGIN,但在iframe中仍然获取不到内容。 介绍:X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 frame , iframe 或者 object 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 只有当用户使用支持X-Frame-
SpringSecurity默认限制iframe引用页面,导致X-Frame-Options deny
点滴记录
10-15 6224
Spring Security环境下X-Frame-Options默认为DENYSpring Security环境下X-Frame-Options的默认大多也是DENY 这种情况下,浏览器拒绝当前页面加载任何Frame页面 X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 S...
FTP-document.rar_fit//127.0.0.1:5050_ftb 127.0.0.1 2121_ftb:127.
09-14
IP地址127.0.0.1 端口21 用户名admin 密码12345
Spring-frame
11-15
Spring框架的介绍,描述了和介绍了Spring常用的方法以及对Spring框架的整体介绍
Android SDK Manager解决更新时的问题 :Failed to fetch URL…
01-20
Failed to fectch URl https://dl-ssl.google.com/android/repository/addons_list.xml, reason: Connection to https://dl-ssl.google.com refused  安装使用SDK Manager更新时出现问题 Failed to fetch URL ...
ubuntu vps安装docker报错:Cannot connect to the Docker daemon at unix:///var/run/docker.sock.问题解决
09-30
在Ubuntu VPS上安装Docker时,可能会遇到一个常见的错误:“Cannot connect to the Docker daemon at unix:///var/run/docker.sock.” 这个问题通常是由于Docker守护进程未运行或者是由于Linux内核版本过低导致的。...
Spring SecurityRefused to display '<URL>' in a frame because it set 'X-Frame-Options' to 'deny'.
建设美丽祖国
04-06 1690
Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置参数含义如下: DENY:浏览器拒绝当前页面加载任何Frame页面 SAMEORIGIN:frame页面的地址只能为同源域名下的页面 ALLOW-FROM:ori...
2.Refused to displayhttp:...‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny
豆豆豆豆芽的博客
10-26 1万+
这个问题会导致内置页面无法加载 这是由于打开了apache服务器配置文件里的X-Frame-Options配置模块 只需要进入apache文件里的httpd.conf配置文件里,把这一行注释掉即可正常加载 改完配置文件后的结果为: ...
Day91.Spring Security框架: 认证与授权、Spring Session集成--Session共享
a111042555的博客
06-27 1363
Spring Security
跨域问题-Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘SAMEORIGIN‘
荷塘月色
12-14 9127
第二个例子告诉浏览器只有当架设iFrame的网站与发出X-Frame-Options的网站相同,才能显示发出X-Frame-Options网页的内容。第三个例子告诉浏览器这个网页只能放在 http://caibaojian.com// 网页架设的iFrame内。第一个例子告诉浏览器不要(DENY)把这个网页放在iFrame内,通常的目的就是要帮助用户对抗点击劫持。关掉了才解决,开始想着翻越过这个问题,最终发现这个是安全机制,翻越不了。还是不行,最终的解决方案是去帆软报表的服务器上面把安全设置里面的。
spring-boot集成spring-security
一个有梦想的混子
03-06 4599
这篇文章介绍下securityspring-boot中如何进行集成配置。 之前在学习Spring-security的时候还是使用传统的xml进行配置。基本上需要单独建一个xml文件来配置security,内容很多,也有小伙伴给我反馈说太复杂了。一头晕啊。 下面就来看看spring-boot下如何把复杂的配置简单化。 由于官网的文档讲述的是各个组件是如何使用的,每个组件讲的非常细致,但是对于...
Refused to display in a frame because it set 'X-Frame-Options' to 'DENY'的解决办法
夜空中最亮的星
06-19 2万+
1、https://blog.csdn.net/fl_zxf/article/details/51100599 2、https://blog.csdn.net/jiangyang100/article/details/79452419
odoo开发笔记 -- 跨域Refused to display in a frame because it set 'X-Frame-Options' to 'DENY'
weixin_30300523的博客
06-28 249
场景描述: odoo界面嵌入iframeRefused to display in a frame because it set 'X-Frame-Options' to 'DENY' 跨域请求失败处理! 处理过程: 修改目标访问服务器的nginx或者apache的配置文件,这里用的apache; 具体参数配置参考:https://developer.mozilla.org/...
浏览器 in a frame because it set ‘X-Frame-Options‘ to ‘deny
java_han的专栏
03-26 1193
在用spring boot项目时,整合了springSecurity框架,结果iframe中界面无法显示出来,按F12查看问题,结果显示访问的界面有in a frame because it set 'X-Frame-Options' to 'deny'提示, 解决办法如下: 在我的SecurityConfig类的configure方法中,增加头设置http.headers().frameOptions().sameOrigin();,如下所示: public class WebSecurity.
django 报错:Refused to displayhttp://localhost:8000/’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.
最新发布
10-05
in a frame because it set 'X-Frame-Options' to 'deny'`的错误,这是由于网页设置了`X-Frame-Options`头来防止其内容在iframe中嵌套显示,通常用于安全策略以防止点击劫持攻击。 解决这个问题的方法是调整项目的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值