通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白

最新推荐文章于 2023-11-24 22:24:44 发布
最新推荐文章于 2023-11-24 22:24:44 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: SSM JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013541411/article/details/103334520
版权
JAVA 同时被 2 个专栏收录
9 篇文章 1 订阅
订阅专栏
SSM
2 篇文章 0 订阅
订阅专栏

spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:

DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:origin为允许frame加载的页面地址。

方法一:

在tomcat8以后的版本中,可以通过在web.xml中定义filter设置X-Frame-Options,如下:

<filter>  
    <filter-name>httpHeaderSecurity</filter-name>  
    <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>  
    <init-param>  
        <param-name>antiClickJackingOption</param-name>  
        <param-value>SAMEORIGIN</param-value>  
    </init-param>  
    <async-supported>true</async-supported>  
</filter>  
  
<filter-mapping>  
    <filter-name>httpHeaderSecurity</filter-name>  
    <url-pattern>/*</url-pattern>  
</filter-mapping>  

方法二:

<security:http auto-config="true" use-expressions="true">
    <security:headers>
        <security:frame-options policy="SAMEORIGIN"/>
    </security:headers>
</security:http>

security中的X-Frame-Options的默认DENY改掉了!
 

Crazer.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
koa-xframe:适用于Koa的X-Frame-Options HTTP响应标头实用程序
04-30
Koa XFrame 用于Koa的 HTTP响应标头实用程序。 :light_bulb: 该中间件是为 v2.xx设计的,并使用来实现ES5兼容性。 :wrench: 该中间件正在开发中。 反馈/公关受到欢迎和鼓励。 如果您想在这个项目上进行合作,请告诉我。 安装 $ npm install --save koa-xframe 用法和API import Koa from 'koa' ; import xFrame from 'koa-xframe' ; const app = new Koa ( ) ; // default settings -> set X-Frame-Options to 'DENY' app . use ( xFrame ( ) ) ; // custom settings // -> set X-Frame-Options to 'DENY' app . use ( xFrame (
vue-cli 打包使用history模式的后端配置实例
12-11
apache的配置 这是windows下的 在httpd-vhosts.conf文件中把目录指向项目index.html文件所在的位置 # Virtual Hosts # <VirtualHost> ServerName localhost DocumentRoot D:/wamp64/www/huanzuan/dist <Directory> Options Indexes FollowSymLinks AllowOverride All Order allow,deny Allow from all
X-Frame-Options头未设置 防止网页被iframe内框架调用
01-20
描述: 目标服务器没有返回一个X-Frame-Options头。 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。 解决方案: 修改web服务器配置,添加X-frame-options响应头。赋值
Host.Deny- Your Fast Track Security Reso-开源
05-06
HOST.DENY文件是一个文件,当加载到您的Web服务器的/ etc文件夹时,将禁止使用此编译列表上的IP的任何文件。 还有一个MS Excel Spreadsheat,因此您可以将自己的Ips添加到列表中,并删除重复的副本
SringSecurity5.7(最新)设置X-Frame-Options
Wong_H的博客
09-25 956
SringSecurity5.7(最新)设置X-Frame-Options
Spring Security6使用iframe失败,localhost 拒绝了我们的连接请求
Aimer51129的博客
06-21 884
经排查发现controller可以正常访问,权限和路径已放权,说明问题出在iframe调用上,嵌套页面无法显示可能是由于Spring Security将浏览器的安全策略做了限制。③allow-from:origin为允许frame加载的页面地址。②sameorign:frame页面的地址只能为同源域名下的页面。修改SecurityConfiguration.java。①deny:浏览器拒绝当前页面加载任何Frame页面。我用的是6版本,所以5的写法标红了。
springsecurity6配置
程序猿的傻白甜
11-24 960
springsecurity6配置自定义登录验证方式
Spring Security配置 解决X-Frame-Options deny 造成页面空白 iframe调用问题
xqhys的博客
02-13 3179
转载:http://www.cnblogs.com/zmc/p/8260786.html spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:     DENY:浏览器拒绝当前页面加载任何Frame页面  ...
Spring Security设置X-Frame-Options响应头
mt23
08-25 4789
前言 被Security管理的接口中,其中可能包含html页面,而前端在开发时,可能使用frame标签。为了系统安全性,默认情况下X-Frame-Options是禁止的。 HTTP 响应头X-Frame-Options 说明 X-Frame-Options HTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面<frame>,<iframe>或<object>。通过确保其内容未嵌入其他网站,网站可以使用此功能来避免 点击劫持 攻击 取值说明
SpringSecurity安全框架学习心得,避免踩坑。
小jiang的博客
05-28 908
最近有一个项目需要用到SpringSecurity安全框架,特意简单学习了一下,中间也踩了很多坑,在这里记录一下避免以后踩坑。 1、引入: 在很多的项目中,都会遇到认证问题,就是管理员与用户等不同角色访问页面权限的问题,以及数据库密码加密问题,SpringSecurity能帮我们很好地解决这个问题,但它的作用要多得多,而且更深层,这里我只简单学习了一下。 2、导包: 要想使用框架,需要导入springsecurity的包: <dependency> .
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
iis、apache、nginx使用X-Frame-Options防止网页被Frame解决方法
01-10
当然也是因为被360检测到了示"X-Frame-Options头未设置",根据360的提示与百度了一些网上的一些资料整理了下,完美解决问题。 首先看下360给出的方案,但么有针对服务器的具体设置,不是每个人对服务器都很懂啊。 ...
spring-drools-rule-engine
05-09
1.设置Spring启动项目 2.添加控制器端点和服务 3.配置Drools引擎 4.口水规则单元测试 分步教程即将在我的中等博客中发布…… 拒绝请求:员工人数应大于等于10 { "name": "JadeBalde Corp.", "noOfEmployees": 2, ...
Apache配置文件中的denyallow小结
09-15
主要介绍了Apache配置文件中的denyallow小结,本文着重讲解了denyallow的执行顺序问题,需要的朋友可以参考下
map-deny:通过 GeoIP 查找生成 hosts.deny 位置地图
06-20
##Setup 重命名和编辑配置文件 mv config_SAMPLE.py config.py vim config.py 创建并激活一个 virtualenv virtualenv venv source venv/bin/activate 通过 pip 安装依赖项 pip install -r requirements.txt ...
路由器配置实例--100例
04-17
一、 路由器网络服务安全配置 1 禁止CDP(Cisco Discovery Protocol)。如: Router(Config)#no cdp run Router(Config-if)# no cdp enable 2 禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-...
Apache配置参数denyallow的使用实例
09-15
主要介绍了Apache配置参数denyallow的使用实例,需要的朋友可以参考下
cargo-deny::cross_mark:用于减少依赖项的货运插件:crab:
02-05
cargo-deny::cross_mark:用于减少依赖项的货运插件:crab:
Spring in Action-4th edition.pdf
04-04
Spring in action 4th edition. The best keeps getting better. More than a dozen years ago, Spring entered the Java development scene with the ambitious goal of simplifying enterprise Java develop- ment...
spring security怎么配置的X-Frame-Options
最新发布
04-20
Spring Security配置X-Frame-Options可以通过以下步骤进行: 1. 首先,确保你的项目中已经引入了Spring Security的依赖。 2. 在Spring Security配置类中,可以通过使用`headers()`方法来配置X-Frame-Options...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值