自定义HeaderWriter,使同域下的iframe被允许调用页面

最新推荐文章于 2024-08-09 03:10:19 发布
最新推荐文章于 2024-08-09 03:10:19 发布
阅读量2k 收藏 1
点赞数 3
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010485134/article/details/52126921
版权 
protected void configure(HttpSecurity http) throws Exception{
		/**
		 * 自定义HeaderWriter,用以覆盖security默认的Header,
		 * 使默认的"X-Frame-Options:DENY"禁止一切iframe调用
		 * 转化为"X-Frame-Options:SAMEORIGIN"允许同域下的iframe调用
		 */
		HeaderWriter headerWriter = new HeaderWriter() {
			@Override
			public void writeHeaders(HttpServletRequest request, HttpServletResponse response) {
				response.setHeader("X-Frame-Options","SAMEORIGIN");
			}
		};
		List<HeaderWriter> headerWriters = new ArrayList<HeaderWriter>();
		headerWriters.add(headerWriter);
		HeaderWriterFilter headerWriterFilter = new HeaderWriterFilter(headerWriters);
		http.addFilter(headerWriterFilter);
	}

以上配置似乎对spring security的版本有一定要求:

今天在一个就项目上使用了上面的配置,setHeader()并没有成功替换掉原有的header信息,而是起到了追加的作用,也就是效果等同与addHeader();

后来对比了成功案例的配置,发现成功案例使用的是是4.1.1版本的jar包,而失败案例是3.2的,升级了版本后,setHeader()就成功起到替换效果了。

失控滴原味鸡
关注
专栏目录
Spring Security源码解析--HeaderWriterFilter
程序员劝退师的博客
11-19 1185
概述 Spring Securty 使用该Filter在一个请求的处理过程中为响应对象增加一些头部信息。头部信息由外部提供,比如用于增加一些浏览器保护的头部,比如X-Frame-Options, X-XSS-Protection和X-Content-Type-Options等。 具体的做法是在请求到达的时候将传入的响应对象包装成一个具有头部写入能力的HeaderWriterResponse对象,HeaderWriterResponse所具备的头部写入能力是这样的 : HeaderWriterRespons
关于iframe调用整理
Sunchaser的博客
07-05 232
1、父页面调用iframe页面的方法属性(jq) 调用页面iframe)方法:KaTeX parse error: Expected 'EOF', got '#' at position 3: ("#̲frame1")[0].con…("#frame1").contents().find("#attribute").attr(“disabled”, “disabled”); 2、iframe页...
iframe添加请求头 axios
最新发布
weixin_36674575的博客
08-09 171
用 Axios 在 Iframe 中添加请求头 在现代 web 应用中,使用 iframe 嵌入其他页面已成为常见的做法。但是,出于安全考虑,许多网站并不允许跨域访问,或者对请求的 headers 有严格的要求。因此,如何在 iframe 中添加请求头成为了一个重要的开发挑战。本文将探讨如何利用 axios 实现这一目标,...
iframe调用页面添加header
weixin_43839871的博客
02-15 7880
场景:对于iframe集成的页面进行权限校验。由于iframe默认的src的不能传递header, 因此需要把iframe调用方式改为ajax,代码如下。写个测试的页面测试下。
在src iframe 的url请求添加header
weixin_43416349的博客
05-25 7364
参 考:axios post请求,请求数据的两种格式:JSON字符串和form表单,分别实现和如何选择_小玲子小玲子的博客-CSDN博客_post请求json和formimg使用src动态请求图片,同时需要设置请求头header的问题_在车上在路上的博客-CSDN博客_img src 请求头目前做的项目里面有个二维码是动态加载出来的,最初使用vue双向绑定src实现了src能自动请求图片。html<img :src="src">jsdata:{src:''},mounted: function
iframe添加headers和 修改iframe的内容
weixin_62733705的博客
10-19 3390
iframe添加headers&&修改iframe内容,记录记录
iframe页面与父页面同域或不同域下的js通信
10-25
页面将数据传递给代理iframe,由于它们处于同一域下,代理iframe可以使用同域通信的方式将数据传递给父页面。父页面可以通过设置代理iframe的属性或监听其事件来接收这些数据。 在跨域通信中,要注意一些细节,...
js中iframe调用页面的方法
01-19
本文实例讲述了js中iframe调用页面的方法。分享给大家供大家参考。具体实现方法如下: 子页面调用页面的方法在js中很容易实现。我们只需要在主页面加个函数,然后在子页面通过window.parent.方法()即可实现了 ...
iframe子父页面调用js函数示例
12-12
本篇文章将详细讲解如何在`iframe`子页面调用页面的JS函数以及反之的操作。 ### 1. 子页面调用页面的JS函数 在`iframe`子页面中,要调用页面的JavaScript函数,可以使用`window.parent`对象来引用父窗口。...
js防止页面iframe调用的方法
10-25
本文将详细介绍在JavaScript中如何实现防止页面iframe调用的技术。 首先,要理解iframe是什么。iframe是一种HTML元素,它允许你在当前网页内嵌入另一个网页。通过这种方式,外部网站可以展示其他网站的内容,而...
Spring Security之HeaderWriterFilter(八)
欢谷悠扬
07-08 1185
1.作用 这个主要是个response写安全响应头信息的。 默认主要包含五个头信息 第一个:org.springframework.security.web.header.writers.XContentTypeOptionsHeaderWriter 头信息:X-Content-Type-Options=nosniff 作用: 这个是帮助script 和 styleSheet 元素拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。 第二个:org.spr
布局整理(五) header_writer.xml
小王同学的博客
03-17 575
<RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/LinearLayout01" android:layout_width="fill_parent" android:layout_height="47dp" andro
8、spring security拦截器之HeaderWriterFilter
u012153127的博客
06-24 812
HeaderWriterFilter:在请求前后写入一些header信息 @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { //shouldWriteHeadersEagerly:为true,则在请
Spring Security Web 5.1.2 源码解析 -- HeaderWriterFilter
Details Inside Spring
12-05 1891
概述 Spring Securty 使用该Filter在一个请求的处理过程中为响应对象增加一些头部信息。头部信息由外部提供,比如用于增加一些浏览器保护的头部,比如X-Frame-Options, X-XSS-Protection和X-Content-Type-Options等。 具体的做法是在请求到达的时候将传入的响应对象包装成一个具有头部写入能力的HeaderWriterResponse对象,H...
常见 Promise 面试问题
weixin_38300263的博客
11-23 3517
前端面试过程中,基本都会问到 Promise,如果你足够幸运,面试官问的比较浅,仅仅问 Promise 的使用方式,那么恭喜你。事实上,大多数人并没有那么幸运。所以,我们要准备好九浅一深的知识。 常见的promise面试问题 我们看一些 Promise 的常见面试问法,由浅至深。 了解 Promise 吗? Promise 解决的痛点是什么? Promise 解决的痛点还有其他方法可以解决吗?如果有,请列举。 Promise 如何使用? Promise 常用的方法有哪些?它们的作用是什么..
前端对所有文件请求添加header_如何给img标签里的请求添加自定义header
weixin_39557797的博客
12-21 2792
如何给img标签里的请求的添加自定义header是这样的需求,有一个web页面,里面图片的上传和预览来自于一个独立的文件服务器,对http的请求需要进行访问权限的设置,就是在请求的header里加一个Authorization的字段。上传好说我用的Axios直接添加一个header就行了,但是预览就比较麻烦了,因为img这个标签图片下载展示是浏览器自己实现的,没有办法去修改。所以首先想到就是通过接...
SpringSecurity常用过滤器介绍
波波烤鸭的博客
12-05 4712
  本文我们来介绍下SpringSecurity中常用的过滤器及其加载的过程。 一、常用的过滤器   常用的过滤器有15个,分别如下: 1.org.springframework.security.web.context.SecurityContextPersistenceFilter   首当其冲的一个过滤器,非常重要 主要是使用SecurityContextRepository在session...
VUE+iframe添加请求头
热门推荐
LEON_RAY
09-23 1万+
<iframe id="iframe" src="" /> setTimeout(() => { var iframe = document.querySelector("#iframe"); this.populateIframe(iframe, [["Authorization", "Bearer " + getToken()]]); }, 0); methods: { populateIframe(iframe, headers) { ...
JavaScript跨域通信与同域iframe实例:调用PHP详解
首先,我们将理解什么是同域和跨域,以及为什么在默认情况下它们会限制页面之间的数据共享。然后,我们将通过一个实际例子来展示如何在同源情况下(如两个HTML文件位于同一服务器且域名相同),使用JavaScript在A....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值