springBoot springSecurty: x-frame-options deny禁止iframe调用

最新推荐文章于 2022-06-19 16:59:02 发布
最新推荐文章于 2022-06-19 16:59:02 发布
阅读量1.7k 收藏
点赞数
分类专栏: springcloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tonysh_zds/article/details/110389014
版权

springBoot springSecurty: x-frame-options deny禁止iframe调用

https://blog.csdn.net/whiteforever/article/details/73201586

项目中用到iframe嵌入网页,然后用到springsecurity就被拦截了 浏览器报错 x-frame-options deny

原因是因为springSecurty使用X-Frame-Options防止网页被Frame

1
.headers().frameOptions().disable()

解决办法把x-frame-options disable即可

protected void configure(HttpSecurity http) throws Exception {
        // @formatter:off
        SavedRequestAwareAuthenticationSuccessHandler successHandler = new SavedRequestAwareAuthenticationSuccessHandler();
        successHandler.setTargetUrlParameter("redirectTo");

        http.headers().frameOptions().disable();
        http.authorizeRequests()
                .antMatchers(adminContextPath + "/assets/**").permitAll()
                .antMatchers(adminContextPath + "/actuator/**").permitAll()
                .antMatchers(adminContextPath + "/login").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin().loginPage(adminContextPath + "/login")
                .successHandler(successHandler).and()
                .logout().logoutUrl(adminContextPath + "/logout")
                .and()
                .httpBasic().and()
                .csrf().disable();
        //@formatter:on
    }
tonysh_zds
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
koa-xframe:适用于Koa的X-Frame-Options HTTP响应标头实用程序
04-30
Koa XFrame 用于Koa的 HTTP响应标头实用程序。 :light_bulb: 该中间件是为 v2.xx设计的,并使用来实现ES5兼容性。 :wrench: 该中间件正在开发中。 反馈/公关受到欢迎和鼓励。 如果您想在这个项目上进行合作,请告诉我。 安装 $ npm install --save koa-xframe 用法和API import Koa from 'koa' ; import xFrame from 'koa-xframe' ; const app = new Koa ( ) ; // default settings -> set X-Frame-Options to 'DENY' app . use ( xFrame ( ) ) ; // custom settings // -> set X-Frame-Options to 'DENY' app . use ( xFrame (
spring security使用iframe拒绝访问
hzyao的博客
02-17 1324
在拦截资源配置类下加如下代码: //iframe http.headers().frameOptions().disable();
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
MoniAst:MoniAst-Asterisk实时监控呼叫,座席,队列
05-13
莫尼斯特 MoniAst-为您的代理商进行实时监控。 特征: 实时监控座席和中继线状态 实时监控队列 监听当前通话(间谍) 提示音(耳语) 要求 可以在Node.js可以运行的几乎所有平台上运行(Windows,Mac,Linux等)。 Node.js 8以上 MongoDB的 安装 git clone cd MoniAst npm安装 重命名config.example.js-> config.js 在星号中为MoniAst创建管理器或使用该管理器 #/etc/asterisk/manager.conf [general] enabled = yes port = 5038 bindaddr = 0.0.0.0 displayconnects=no ;only effects 1.6+ [managerLogin] secret = superPassword deny
X-Frame-Options(点击劫持)
热门推荐
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
springBoot springSecurty导致的x-frame-options值为deny问题及跨域问题处理方法
txp1993的专栏
12-24 1万+
1.问题解释说明: X-Frame-OptionsHTTP响应头是用来给浏览器 指示允许一个页面 可否在<frame>,<iframe>,<embed>或者<object>中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免被攻击。 X-Frame-Options有三个可能的值: X-Frame-Option...
X-Frame-Options响应头配置详解
qq_37705525的博客
06-19 1万+
X-Frame-Options响应头配置详解
X-Frame-Options响应头防点击劫持
道阻且长,行则将至。
02-21 3870
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 未配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
springBoot springSecurty x-frame-options deny
静故了群动
02-17 4226
项目中用到iframe嵌入网页,然后用到springsecurity就被拦截了 浏览器报错  x-frame-options deny    spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:     D...
SpringSecurity默认限制iframe引用页面,导致X-Frame-Options deny
点滴记录
10-15 5615
Spring Security环境下X-Frame-Options默认为DENYSpring Security环境下X-Frame-Options的默认大多也是DENY 这种情况下,浏览器拒绝当前页面加载任何Frame页面 X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 S...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
01-10
当然也是因为被360检测到了示"X-Frame-Options头未设置",根据360的提示与百度了一些网上的一些资料整理了下,完美解决问题。 首先看下360给出的方案,但么有针对服务器的具体设置,不是每个人对服务器都很懂啊。 ...
tuersteher:Rails-Application 的安全层就像防火墙一样
06-20
Tuersteher Rails-Application 的安全层就像一个防火墙。 检查您的 URL 或 Modells 是否拥有此权限。 安装 gem install tuersteher ... deny . role ( :USER ). role ( :APPROVER ) # Model-Acces-Rules model ( Da
SpringBoot "x-frame-options" to "deny"
sunshinezx8023的博客
01-31 8239
背景:         今天项目中用到iframe嵌入网页, 浏览器报错  in a frame because it set 'X-Frame-Options' to 'deny' 原因:         SpringSecurty使用X-Frame-Options防止网页被Frame 解决:       把x-frame-options 设置为disable即可      代码: ...
拒绝了我们的连接请求
万事俱备,就差一个程序员了
01-19 3万+
背景 在接入内容平台的时候, 内容平台使用iframe来嵌入ugc的帖子详情页, 让用户可以预览帖子详情。 但是帖子详情页不支持iframe的嵌入, 导致出现如下错误: ”star.aliexpress.com 拒绝了我们的连接请求。“ 具体如下: image.png 原因 这是因为帖子详情页不支持iframe嵌入, 这个主要是因为spring boot默认为了安全, 默认不让网...
HTTP协议 - X-frame-options
frag0910的专栏
06-28 2026
防止某些重要网页被其他网站框架(iframe)导入,可以给页面增加X-Frame-Options响应头,这样浏览器会依据X-Frame-Options的值来控制iframe框架的页面是否允许加载显示出来。 修改web服务器配置,添加X-frame-options响应头。赋值有如下三种: (1)DENY:不能被嵌入到任何iframeframe中。 (2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。 (3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 如果不
SpringSecurity安全退出跳转指定请求地址和iframe与security兼容性问题
小马同学
11-10 6117
SpringSecurity是一个能够基于Spring的应用程序提供声明式安全保护的安全性框架,它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了SpringIOC(控制反转)和AOP(面向切面编程)功能,为应用系统提供安全访问控制功能,减少了为系统安全控制编写大量重复代码的工作。但使用SpringSecurity时也有很多坑,比如最近写项目时,页面部分加载过来用的是iframe...
java xframeoptions,Header:X-Frame-Options开启与关闭方法
weixin_39869593的博客
03-13 1528
X-Frame-Options头主要是为了防止站点被别人劫持,iframe引入一、nginx配置形式:add_header X-Frame-Options ALLOWALL; #允许所有域名iframeadd_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名add_header X-Frame-Options SANEORIGIN; #允许相同...
GateWay 中StripPrefix的作用
tonysh_zds的博客
11-25 6708
StripPrefix网关过滤器工厂采用一个参数StripPrefix。 StripPrefix参数表示在将请求发送到下游之前从请求中剥离的路径个数。 spring: cloud: gateway: routes: - id: crm uri: http://crm predicates: - Path=/crm/** filters: - StripPrefix=2 ...
X-Frame-Options: DENY X-Content-Type-Options: nosniff
最新发布
12-14
X-Frame-Options和X-Content-Type-...以下是设置X-Frame-OptionsDENY和X-Content-Type-Options为nosniff的示例代码: ```nginx add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值