SpringBoot "x-frame-options" to "deny"

最新推荐文章于 2024-04-19 11:34:01 发布
最新推荐文章于 2024-04-19 11:34:01 发布
阅读量8.2k 收藏 2
点赞数 1
分类专栏: spring boot 文章标签: "x-frame-options" to "deny" x-frame-options
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunshinezx8023/article/details/86715951
版权

背景:

        今天项目中用到iframe嵌入网页, 浏览器报错  in a frame because it set 'X-Frame-Options' to 'deny'

原因:

        SpringSecurty使用X-Frame-Options防止网页被Frame

解决:

      把x-frame-options 设置为disable即可

     代码: headers().frameOptions().disable()

     如下:

 protected void configure(HttpSecurity http) throws Exception {
            //防止iframe
            http.headers().frameOptions().disable();
 }

image.png

 

补充说明:X-Frame-Options 三个值的意思:(主要:网上找的图)

image.png

      

小星向上
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
X-Frame-Options相关文件
08-27
描述中提到的"X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'",意味着在某个特定的场景下,一个网页没有设置X-Frame-Options头,或者设置了值为'deny'的X-Frame-Options头,这表明...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
为了防范这种攻击,网站管理员应该在服务器端配置X-Frame-Options头,指示浏览器是否允许页面在frame或iframe中显示。X-Frame-Options头有三种可能的值: 1. **DENY**:不允许任何域加载此页面,包括同一域下的页面...
springmvc security 关于页面请求出现X-Frame-Options‘ to ‘deny 异常解决方法
whhmkj的专栏
07-08 971
本文章主要是讲解在xml配置中springmvc与seccurity框架整合遇到请求错误的问题, 至于为什么会出现上述问题就不多说,直接贴解决办法: 在你的seccurity.xml文件<http>标签域中添加 <headers> <frame-options disabled="true"></frame-options> </headers> <csrf disabled="true" request-matcher
application.properties详解 --springBoot配置文件
热门推荐
LPF的博客
10-19 3万+
# spring boot application.properties配置的各个属性详解 # 该示例文件作为标准提供。(官方文档 翻译过来的) # 还是花了些功夫翻译,各位如果转发,请留下本文地址,谢谢 # 翻译过程中难免出现翻译错误的地方,如果有哪位大神发现有错误的地方,请您留言指正,感激不尽,共同进步。 # created  by lpf in 2017/10/19 # = = =
iframe嵌套页面 拒绝访问 X-Frame-Options配置
天生欧皇张狗蛋
04-19 1112
deny 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。sameorigin 表示该页面可以在相同域名页面的 frame 中展示。allow-from uri 表示该页面可以在指定来源的 frame 中展示。
Spring Boot 不允许加载iframe问题解决
MIYAOW
08-07 5860
spring Security下,X-Frame-Options默认为DENY,非spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:     DENY:浏览器拒绝当前页面加载任何Frame页面     SAMEORIGIN:frame页面的地址只能为同源域名下的页面     AL
解决 Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘deny‘.问题
rainux
02-22 6604
Code Is Never Die ! 问题: 在做iframe预览PDF文件时,虽然nginx配置了X-Frame-Options SAMEORIGIN,但在iframe中仍然获取不到内容。 介绍:X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 frame , iframe 或者 object 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 只有当用户使用支持X-Frame-
浏览器 in a frame because it set ‘X-Frame-Options‘ to ‘deny
java_han的专栏
03-26 1090
在用spring boot项目时,整合了springSecurity框架,结果iframe中界面无法显示出来,按F12查看问题,结果显示访问的界面有in a frame because it set 'X-Frame-Options' to 'deny'提示, 解决办法如下: 在我的SecurityConfig类的configure方法中,增加头设置http.headers().frameOptions().sameOrigin();,如下所示: public class WebSecurity.
Django开发“ 'X-Frame-Options' to 'deny'“报错处理
ora_dy的博客
03-20 3978
在Django开发过程中出现报错 Refused to display 'http://127.0.0.1:8000/index/welcome.html' in a frame because it set 'X-Frame-Options' to 'deny'. 由于借用的是开源模板,百度查询到的问题是frame架构中间人攻击的相关bug,但是全是Java的解决方案。找了好久,在谷歌上找到...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
Response.AddHeader("X-Frame-Options", "Deny"); ``` - ASP: ``` <%response.AddHeader "X-Frame-Options","Deny"%> ``` **服务器配置** 在Web服务器层面,也可以全局设置X-Frame-Options。例如,在IIS中,...
x-frame-bypass:绕过X帧选项
05-10
通常,`X-Frame-Options`有三个可能的值:`DENY`、`SAMEORIGIN`和`ALLOW-FROM`。 1. `DENY`:禁止任何网站将页面加载到IFrame中。 2. `SAMEORIGIN`:只允许同源策略下的页面加载,即只有与发送该头部的页面在同一...
Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'.
menghuannvxia的专栏
01-29 2881
springmvc 在整合spring security时,浏览器发送请求,出现 解决:在继承WebSecurityConfigurerAdapter的子类的覆盖方法configure(HttpSecurity)里面添加: http.headers().frameOptions().sameOrigin(); 百度查找原因: 既然是在浏览器端发送请求时出的问题,那么先看一下请求信息,如图,...
解决iframe 请求security出现X-Frame-Options
我是一只蘑菇17的博客
09-27 1194
>>>> Springboot 2.x 要在继承了 WebSecurityConfigurerAdapter 的配置类中配置。插入.and().headers().frameOptions().在开发SpringSecurity配置的项目时,返回带有。结合SpringBoot只要在页面访问控制的配置中加上。()//防止iframe内容无法显示,解决问题!()//防止iframe内容无法显示。的页面时,无法显示。打开页面工具看到提示。
springBoot springSecurty x-frame-options deny
静故了群动
02-17 4270
项目中用到iframe嵌入网页,然后用到springsecurity就被拦截了 浏览器报错  x-frame-options deny    spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:     D...
spring security 'X-Frame-Options' to 'deny'.
qq_41738613的博客
03-08 699
springboot 2.1.3 RELEASE 引入security &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&...
in a frame because it set ‘X-Frame-Options‘ to ‘deny‘ 问题解决
LeeTom208的博客
08-18 8056
in a frame because it set 'X-Frame-Options' to 'deny' 问题解决 我们先百度一下X-Frame-Options的中文文档 从上面我们可以看到既然该页面不允许在frame框架中展示,那我们就用新标签页的方式打开即可。这个有多种方法,前端修改,或者js来修改链接属性target="_blank",我项目是采用后端服务器代码的修改。 ...
springBoot整合swagger,开启x-frame-options,跨域访问,解决ifrom嵌套问题
牛哥哥的博客
07-25 2288
背景: swagger可以说是前后端分离时代前后端开发人员交流的一个重要工具,关于swagger我就不做说明了,这里说一下我遇到的问题。swagger虽然方便但是随着服务的增多,前端的同学在切换不同服务的时候会频繁输地址,不太友好。 想法: 能不能单独拉个页面,把swagger都放在一起,前端同学只需要点按钮切换就行例如: 但是你会发现一个问题swagger默认添加安全标头的响应,所以点user服务的swagger是不会嵌入带ifrom中来 解决: 其实很简单,只需要在security中开启就好 @Ena
Refused to display 'xxx' in a frame because it set 'X-Frame-Options' to 'deny'.
LC的博客
09-17 5281
网站升级为https后,发现iframe都加载不出来了,同时控制台报这个错 查找大量资料后解决问题,在这里总结一下 一、 X-Frame-Options 是什么? X-Frame-Options是一个HTTP标头(header),用来告诉浏览器这个网页是否可以放在iFrame内。 二、它可以取哪些值? 1、 DENY 表示不要把这个网页放在iFrame内,通常的目的就是要帮助用户...
springboot jetty 配置X-Frame-Options 报头缺失
最新发布
06-08
Spring Boot中使用Jetty作为Web容器时,配置X-Frame-Options HTTP头是为了防止网页被嵌入到其他网站(跨站嵌入,Clickjacking)的安全措施。默认情况下,如果你没有在Spring Boot应用的配置中显式设置这个头部,可能是因为Jetty的默认安全策略没有包含这一项。 要为Spring Boot应用配置X-Frame-Options,你需要在Spring Boot的`application.properties`或`application.yml`文件中添加相关的配置,或者直接在Java代码中进行配置。具体步骤如下: 1. **在`application.properties`中**: ```properties server.servlet.context-path=/ # 如果你的应用运行在根路径,不需此项 server.jetty.xframeoptions.enabled=true server.jetty.xframeoptions.value=SAMEORIGIN # 可选值有SAMEORIGIN, SAMEsite,或DENY ``` 2. **在`application.yml`中**: ```yaml server: servlet: context-path: / jetty: x-frame-options: enabled: true value: SAMEORIGIN ``` 3. **在Java代码中动态配置**: ```java @Configuration public class WebSecurityConfig { @Bean public ServerCustomizer jettyServerCustomizer() { return (server -> { server.setHandler(new HandlerWrapper() { @Override protected void doHandle(ServletRequest request, ServletResponse response, boolean containsError) throws IOException, ServletException { response.setHeader("X-Frame-Options", "SAMEORIGIN"); super.doHandle(request, response, containsError); } }); }); } } ``` 确保你重启应用后,`X-Frame-Options`头应该会被设置并生效。如果问题仍然存在,检查一下是否有其他中间件或配置冲突,或者检查日志以获取更多关于配置执行的详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值