自定义HeaderWriter,使同域下的iframe被允许调用页面

最新推荐文章于 2024-10-28 17:14:09 发布
最新推荐文章于 2024-10-28 17:14:09 发布
阅读量2k 收藏 1
点赞数 3
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010485134/article/details/52126921
版权
本文介绍如何通过自定义HeaderWriter来修改Spring Security中默认的X-Frame-Options头部设置,使其从DENY变为SAMEORIGIN,允许同源iframe调用,并讨论了不同版本间的行为差异。
摘要由CSDN通过智能技术生成 
protected void configure(HttpSecurity http) throws Exception{
		/**
		 * 自定义HeaderWriter,用以覆盖security默认的Header,
		 * 使默认的"X-Frame-Options:DENY"禁止一切iframe调用
		 * 转化为"X-Frame-Options:SAMEORIGIN"允许同域下的iframe调用
		 */
		HeaderWriter headerWriter = new HeaderWriter() {
			@Override
			public void writeHeaders(HttpServletRequest request, HttpServletResponse response) {
				response.setHeader("X-Frame-Options","SAMEORIGIN");
			}
		};
		List<HeaderWriter> headerWriters = new ArrayList<HeaderWriter>();
		headerWriters.add(headerWriter);
		HeaderWriterFilter headerWriterFilter = new HeaderWriterFilter(headerWriters);
		http.addFilter(headerWriterFilter);
	}

以上配置似乎对spring security的版本有一定要求:

今天在一个就项目上使用了上面的配置,setHeader()并没有成功替换掉原有的header信息,而是起到了追加的作用,也就是效果等同与addHeader();

后来对比了成功案例的配置,发现成功案例使用的是是4.1.1版本的jar包,而失败案例是3.2的,升级了版本后,setHeader()就成功起到替换效果了。

失控滴原味鸡
关注
专栏目录
Spring Security源码解析--HeaderWriterFilter
程序员劝退师的博客
11-19 1233
概述 Spring Securty 使用该Filter在一个请求的处理过程中为响应对象增加一些头部信息。头部信息由外部提供,比如用于增加一些浏览器保护的头部,比如X-Frame-Options, X-XSS-Protection和X-Content-Type-Options等。 具体的做法是在请求到达的时候将传入的响应对象包装成一个具有头部写入能力的HeaderWriterResponse对象,HeaderWriterResponse所具备的头部写入能力是这样的 : HeaderWriterRespons
关于iframe调用整理
Sunchaser的博客
07-05 251
1、父页面调用iframe页面的方法属性(jq) 调用页面iframe)方法:KaTeX parse error: Expected 'EOF', got '#' at position 3: ("#̲frame1")[0].con…("#frame1").contents().find("#attribute").attr(“disabled”, “disabled”); 2、iframe页...
iframe调用页面添加header
weixin_43839871的博客
02-15 8174
场景:对于iframe集成的页面进行权限校验。由于iframe默认的src的不能传递header, 因此需要把iframe调用方式改为ajax,代码如下。写个测试的页面测试下。
在src iframe 的url请求添加header
weixin_43416349的博客
05-25 7482
参 考:axios post请求,请求数据的两种格式:JSON字符串和form表单,分别实现和如何选择_小玲子小玲子的博客-CSDN博客_post请求json和formimg使用src动态请求图片,同时需要设置请求头header的问题_在车上在路上的博客-CSDN博客_img src 请求头目前做的项目里面有个二维码是动态加载出来的,最初使用vue双向绑定src实现了src能自动请求图片。html<img :src="src">jsdata:{src:''},mounted: function
iframe添加headers和 修改iframe的内容
weixin_62733705的博客
10-19 3761
iframe添加headers&&修改iframe内容,记录记录
iframe页面与父页面同域或不同域下的js通信
10-25
页面将数据传递给代理iframe,由于它们处于同一域下,代理iframe可以使用同域通信的方式将数据传递给父页面。父页面可以通过设置代理iframe的属性或监听其事件来接收这些数据。 在跨域通信中,要注意一些细节,...
iframe简单使用(同域下)
wxj_ios的博客
01-24 349
this.mbsj = $('#ifm1').contents().find('#mb1').val(); // 子页面数据传递到父页面 $('#ifm1').contents().find('#mb1').val(111); // 父页面数据传递到子页面 document.getElementById('ifm1').src = 'http://www.baidu.com'; // 刷新子页
HTML <iframe>实现同域下的页面
qq_35389653的博客
12-21 1229
同域情况下:
js中iframe调用页面的方法
01-19
本文实例讲述了js中iframe调用页面的方法。分享给大家供大家参考。具体实现方法如下: 子页面调用页面的方法在js中很容易实现。我们只需要在主页面加个函数,然后在子页面通过window.parent.方法()即可实现了 ...
iframe相关页面调用
咫尺天涯
12-21 81
参考链接: 1 iframe里面的页面调用父窗口,左右窗口js函数的方法 [url]http://nyazheng.blog.163.com/blog/static/57126465200942293956884/[/url] 2 父窗口调用iframe子窗口方法 通常方式: [code="javascript"] [/code] A方式: [code="j...
Spring常用过滤器(Filter)-HeaderWriterFilter
最新发布
Liang的博客
10-28 356
这些头部信息由外部提供,通常用于增加一些浏览器保护的头部,如X-Frame-Options、X-XSS-Protection和X-Content-Type-Options等。1.1.1 HeaderWriterFilter是Spring Security中的一个核心过滤器,其主要功能是在HTTP响应的头部添加特定的安全标头(Security Headers),以增强Web应用程序的安全性。默认情况下,该属性为false,即过滤链执行完毕后再写入头部信息。否则,会在过滤链执行完毕后再进行写入。
Spring Security之HeaderWriterFilter(八)
欢谷悠扬
07-08 1222
1.作用 这个主要是个response写安全响应头信息的。 默认主要包含五个头信息 第一个:org.springframework.security.web.header.writers.XContentTypeOptionsHeaderWriter 头信息:X-Content-Type-Options=nosniff 作用: 这个是帮助script 和 styleSheet 元素拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。 第二个:org.spr
布局整理(五) header_writer.xml
小王同学的博客
03-17 589
<RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/LinearLayout01" android:layout_width="fill_parent" android:layout_height="47dp" andro
8、spring security拦截器之HeaderWriterFilter
u012153127的博客
06-24 848
HeaderWriterFilter:在请求前后写入一些header信息 @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { //shouldWriteHeadersEagerly:为true,则在请
Spring Security Web 5.1.2 源码解析 -- HeaderWriterFilter
Details Inside Spring
12-05 1912
概述 Spring Securty 使用该Filter在一个请求的处理过程中为响应对象增加一些头部信息。头部信息由外部提供,比如用于增加一些浏览器保护的头部,比如X-Frame-Options, X-XSS-Protection和X-Content-Type-Options等。 具体的做法是在请求到达的时候将传入的响应对象包装成一个具有头部写入能力的HeaderWriterResponse对象,H...
iframe子父页面调用js函数示例
12-12
本篇文章将详细讲解如何在`iframe`子页面调用页面的JS函数以及反之的操作。 ### 1. 子页面调用页面的JS函数 在`iframe`子页面中,要调用页面的JavaScript函数,可以使用`window.parent`对象来引用父窗口。...
页面中使用iframe
lazy_tomato的博客
09-02 3449
综上所述:最优解是同源的情况,可以直接操作 dom,可以不借助 postMessage 直接通信。如果不同源,可以通过 postMessage,传递消息。但是需要在 iframe 中添加代码主动发送消息,外层页面监听 message 事件接受数据;
常见 Promise 面试问题
weixin_38300263的博客
11-23 3547
前端面试过程中,基本都会问到 Promise,如果你足够幸运,面试官问的比较浅,仅仅问 Promise 的使用方式,那么恭喜你。事实上,大多数人并没有那么幸运。所以,我们要准备好九浅一深的知识。 常见的promise面试问题 我们看一些 Promise 的常见面试问法,由浅至深。 了解 Promise 吗? Promise 解决的痛点是什么? Promise 解决的痛点还有其他方法可以解决吗?如果有,请列举。 Promise 如何使用? Promise 常用的方法有哪些?它们的作用是什么..
前端对所有文件请求添加header_如何给img标签里的请求添加自定义header
weixin_39557797的博客
12-21 2851
如何给img标签里的请求的添加自定义header是这样的需求,有一个web页面,里面图片的上传和预览来自于一个独立的文件服务器,对http的请求需要进行访问权限的设置,就是在请求的header里加一个Authorization的字段。上传好说我用的Axios直接添加一个header就行了,但是预览就比较麻烦了,因为img这个标签图片下载展示是浏览器自己实现的,没有办法去修改。所以首先想到就是通过接...
JavaWeb:Servlet、ServletContext、HttpServletResponse、HttpServletRequest 的详细内容
taiyang3285的博客
05-09 733
介绍了 Servlet 和 Mapping 的原理、ServletContext 的方法、HttpServletResponse 和 HttpServletRequest 的方法及一些应用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值