Web返回响应 X-Frame-Options 设置

最新推荐文章于 2024-05-30 14:17:05 发布
最新推荐文章于 2024-05-30 14:17:05 发布
阅读量7.9k 收藏 3
点赞数 1
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/supingemail/article/details/104671628
版权

好记忆不如烂笔头,能记下点东西,就记下点,有时间拿出来看看,也会发觉不一样的感受.

目录

一、问题

二、方案

三、代码  

四、总结

一、问题

   在Springboot做系统的页面嵌入的时候,报错如下:

Refused to display 'http://xxx.com/#/aa/bb' in a frame because it set 'X-Frame-Options' to 'sameorigin'.

出现这个报错的原因是因为:要添加 X-frame-options 响应头设置

二、方案

  要添加 X-frame-options ,赋值的方法有如下三种:

(1)DENY:不能被嵌入到任何iframe或frame中。

(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

防止某些重要网页被其他网站框架导入,可以给页面增加X-Frame-Options响应头,这样浏览器会依据X-Frame-Options的值来控制iframe框架的页面是否允许加载显示出来,IE下的效果如下(此内容无法再框架中显示。为了帮助保护在此网站中输入的信息安全,此内容的发行者不允许在框架中显示该信息),其他非IE核心浏览器会显示空白内容。

三、代码  

那么在 springboot 项目中,该如何设置那访问的方法呐 ?具体做法如下:

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
       //设置X-Frame-Options 响应头,可以嵌套ifram中去.
       http.headers()
             .frameOptions()
             .disable();

      /* 以SAMEORIGIN 方式嵌入,其他两种类似如此
       http.headers()
             .frameOptions()
             .sameOrigin()
             .httpStrictTransportSecurity()
             .disable();
       */
    }
}

在 SpringMVC 中,可以实现如下:

 class FrameTao implements Filter {  
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {  
        HttpServletRequest request = (HttpServletRequest) req;    
        HttpServletResponse response = (HttpServletResponse) res;    
        response.setHeader("x-frame-options", "SAMEORIGIN");    
        chain.doFilter(request, response);  
    }       
}  

四、总结

目前用到的解决办法:

  1、配置apache

(如果是在本地的话,就是在httpd.conf里面配置;如果是linux(ubuntu的话)就是在apache2.conf里面),找个空的位置加入这行代码,具体看你是选择哪种

<span style="font-size:14px;">Header always append X-Frame-Options SAMEORIGIN</span>

有可能会遇到一种情况,就是我在服务端配置完apache之后,尝试 Restart Apache 但是报了一个错误:

Invalid command ‘Header’, perhaps misspelled or defined by a module not included in the server configuration

  header的方法模块没有安装,我们需要先自行安装一下:

  先输入 a2enmod heade ,然后需要重启一下Apache,输入service apache2 restart

2、配置Nginx:

  配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

<span style="font-size:14px;">add_header X-Frame-Options SAMEORIGIN;</span>


3、在服务端设置的方式如下:

  Java代码:
  response.addHeader("x-frame-options","SAMEORIGIN");

 其他解决方案,可以google查看!

 

supingemail
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Web安全漏洞 X-Frame-Options响应头配置
yangwawa19870921的专栏
09-26 919
介绍:可以参考 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options 下面记录一下Java部分的写法 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.s...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
- **IIS**:在Web.config文件的`<httpProtocol>`节点下,增加`<customHeaders>`并设置`<add name="X-Frame-Options" value="SAMEORIGIN" />`。 - **Tomcat**:对于基于Tomcat的Java应用,可以创建一个过滤器,添加`...
解决vue前端iframe框架嵌套第三方网址拒绝访问
HD243608836的博客
04-16 2854
Refused to display '嵌套的网址' in a frame because it set 'X-Frame-Options' to 'sameorigin'.
X-Frame-Options响应头配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应头配置详解
Refused to display ‘‘ in a frame because it set ‘X-Frame-Options‘ to ‘sameorigin‘
最新发布
qq_53513969的博客
05-30 359
Refused to display '' in a frame because it set 'X-Frame-Options' to 'sameorigin'
springBoot springSecurty: x-frame-options deny禁止iframe调用
weixin_34067049的博客
09-19 729
springBoot springSecurty:  x-frame-options deny禁止iframe调用 https://blog.csdn.net/whiteforever/article/details/73201586     项目中用到iframe嵌入网页,然后用到springsecurity就被拦截了 浏览器报错  x-frame-options deny  原因是因为spri...
Springboot -- 网络安全漏洞处理
zhangdm的博客
02-26 9090
文章目录不安全的 HTTP 方法以及 Nginx 屏蔽版本号显示说明检测方式不安全的 HTTP 方法 处理代码屏蔽 Nginx 版本号显示点击劫持漏洞说明什么是ClickJacking检测方式处理代码XSS跨站脚本攻击说明检测方式处理代码 (参考网上的代码,主要是对传入的信息进行敏感字符的过滤) 不安全的 HTTP 方法以及 Nginx 屏蔽版本号显示 说明 Web服务器在默认情况下开放了一些不必要的HTTP方法(如OPTIONS,DELETE、PUT、TRACE、MOVE、COPY),增加了受攻击的几率,
springBoot springSecurty导致的x-frame-options值为deny问题及跨域问题处理方法
txp1993的专栏
12-24 1万+
1.问题解释说明: X-Frame-OptionsHTTP响应头是用来给浏览器 指示允许一个页面 可否在<frame>,<iframe>,<embed>或者<object>中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免被攻击。 X-Frame-Options有三个可能的值: X-Frame-Option...
application.properties详解 --springBoot配置文件
热门推荐
LPF的博客
10-19 3万+
# spring boot application.properties配置的各个属性详解 # 该示例文件作为标准提供。(官方文档 翻译过来的) # 还是花了些功夫翻译,各位如果转发,请留下本文地址,谢谢 # 翻译过程中难免出现翻译错误的地方,如果有哪位大神发现有错误的地方,请您留言指正,感激不尽,共同进步。 # created  by lpf in 2017/10/19 # = = =
SpringBoot "x-frame-options" to "deny"
sunshinezx8023的博客
01-31 8299
背景:         今天项目中用到iframe嵌入网页, 浏览器报错  in a frame because it set 'X-Frame-Options' to 'deny' 原因:         SpringSecurty使用X-Frame-Options防止网页被Frame 解决:       把x-frame-options 设置为disable即可      代码: ...
SringSecurity5.7(最新)设置X-Frame-Options
Wong_H的博客
09-25 1033
SringSecurity5.7(最新)设置X-Frame-Options
Spring Boot 不允许加载iframe问题解决
MIYAOW
08-07 5877
spring Security下,X-Frame-Options默认为DENY,非spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:     DENY:浏览器拒绝当前页面加载任何Frame页面     SAMEORIGIN:frame页面的地址只能为同源域名下的页面     AL
X-Frame-Options相关文件
08-27
描述中提到的"X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'",意味着在某个特定的场景下,一个网页没有设置X-Frame-Options头,或者设置了值为'deny'的X-Frame-Options头,这表明...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
Web服务器层面,也可以全局设置X-Frame-Options。例如,在IIS中,可以在站点级别添加HTTP响应头,设置`X-Frame-Options`为所需的值(DENY、SAMEORIGIN 或 ALLOW-FROM uri)。 **浏览器支持** 大部分现代浏览器,...
x-frame-bypass:绕过X帧选项
05-10
在Node.js中,特别是使用Express框架构建的Web应用,可以通过设置响应头来控制`X-Frame-Options`。例如: ```javascript const express = require('express'); const app = express(); app.use((req, res, next) =...
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2498
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
解决iframe 请求security出现X-Frame-Options
我是一只蘑菇17的博客
09-27 1206
>>>> Springboot 2.x 要在继承了 WebSecurityConfigurerAdapter 的配置类中配置。插入.and().headers().frameOptions().在开发SpringSecurity配置的项目时,返回带有。结合SpringBoot只要在页面访问控制的配置中加上。()//防止iframe内容无法显示,解决问题!()//防止iframe内容无法显示。的页面时,无法显示。打开页面工具看到提示。
解决springBoot springSecurty x-frame-options deny
lyy的博客
01-15 9183
前几天刚学了学SpringSecurity框架,就想把以前的一个项目的安全框架改成SpringSecurity,结果改完之后iframe全部失效了,页面不显示,F12才知道,是x-frame-options deny在作怪。 话不多说,直接上代码: ...
将spring的x-frame-option设置为无效的方法
alexwang1983的专栏
06-21 3564
X-Frame-Options在哪设置
05-20
X-Frame-Options是一个HTTP响应头,用于指示浏览器是否允许将当前页面嵌入到<frame>、<iframe>或<object>中。可以在Web服务器或Web应用程序中设置此HTTP响应头。 在Apache服务器上,可以通过修改httpd.conf或.htaccess文件来设置X-Frame-Options响应头。以下是一个示例: ``` Header always append X-Frame-Options SAMEORIGIN ``` 这将在所有响应中添加X-Frame-Options头,并将其设置为SAMEORIGIN,表示仅允许来自同一域的页面嵌入。 在NGINX服务器上,可以在配置文件中添加以下行来设置X-Frame-Options头: ``` add_header X-Frame-Options SAMEORIGIN; ``` 同样地,这将在所有响应中添加X-Frame-Options头,并将其设置为SAMEORIGIN。 在ASP.NET应用程序中,可以通过在Web.config文件中添加以下行来设置X-Frame-Options头: ``` <system.webServer> <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> </system.webServer> ``` 这将在所有响应中添加X-Frame-Options头,并将其设置为SAMEORIGIN。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值