SpringSecurity4\5去除x-frame-options deny

最新推荐文章于 2024-06-06 09:00:14 发布
最新推荐文章于 2024-06-06 09:00:14 发布
阅读量528 收藏
点赞数 1
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wszhlzjl/article/details/105004589
版权

在开发SpringSecurity5配置的项目时,返回带有iframe的页面时,无法显示。

打开页面工具看到提示

Refused to display in a frame because it set 'X-Frame-Options' to 'DENY'

上网找了半天,都说明了问题,以及在WEB.xml或其它XML文件的配置方法

结合SpringBoot只要在页面访问控制的配置中加上

http
  .authorizeRequests().antMatchers("/login","/login-error","/401","/css/**","/js/**").permitAll()
  .and().formLogin().loginPage( "/login" ).failureUrl( "/login-error" ).successForwardUrl("/index")
  .and().headers().frameOptions().disable()//防止iframe内容无法显示
  .and().exceptionHandling().accessDeniedPage( "/401" )
  .and().authorizeRequests().anyRequest().authenticated();

插入.and().headers().frameOptions().disable()//防止iframe内容无法显示,解决问题!

特此记录

wszhlzjl
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java xframeoptions,Header:X-Frame-Options开启与关闭方法
weixin_39772388的博客
03-13 2416
X-Frame-Options头主要是为了防止站点被别人劫持,iframe引入一、nginx配置形式:add_header X-Frame-Options ALLOWALL; #允许所有域名iframeadd_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名add_header X-Frame-Options SANEORIGIN; #允许相同...
X-Frame-Options相关文件
08-27
描述中提到的"X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'",意味着在某个特定的场景下,一个网页没有设置X-Frame-Options头,或者设置了值为'deny'的X-Frame-Options头,这表明...
SpringSecurity5和ueditor上传时出现Refused to display in a frame because it set 'X-Frame-Options' to 'DENY'
闲时不练功,忙时一场空
08-02 593
Spring Security5默认是将'X-Frame-Options' 设置为 'DENY' 所以重新配置下SpringSecurity, 在<http>标签内添加配置: <security:headers> <security:frame-options policy="SAMEORIGIN" /> </security:heade...
headers().frameOptions().disable()
最新发布
weixin_46233936的博客
06-06 346
spring-boot-starter-security
Spring security 安全设置
黄飞Gary
03-22 822
1、CSRF攻击 CSRF 又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。     举个例子 用户通过表单发送请求到银行网站,银行网站获取请求参 数后对用户账户做出更改。在用户没有退出银行网站情况 下,访问了攻击网站,攻击网站中有一段跨域访问的代码, 可能自动触发也可能点击提交按钮,访问的url正是银行网 站接受表单的url。因为都来自于用户的浏览器端,银行将 请求看作是用户...
X-Content-Type-Options: nosniff 禁用浏览器类型猜测保证安全性
程序员老狼专注开发aigc或客服系统应用
10-22 3537
在开发我的客服系统项目的时候,看到浏览器开发者模式有报错,是安全相关的错误,提示让加上这个响应头 原因是下面这样的: 互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,...
Nginx添加安全策略
TomicSun的博客
07-06 2976
Nginx添加安全策略
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
同时,随着浏览器安全策略的演变,考虑使用更现代的安全特性,如Content Security Policy(CSP)的`frame-ancestors`指令,它可以提供更细粒度的控制,并且在X-Frame-Options不受支持的场景下提供额外保护。...
X-Frame-Options头未设置 防止网页被iframe内框架调用
09-30
Response.AddHeader("X-Frame-Options", "Deny"); ``` - ASP: ``` <%response.AddHeader "X-Frame-Options","Deny"%> ``` **服务器配置** 在Web服务器层面,也可以全局设置X-Frame-Options。例如,在IIS中,...
x-frame-bypass:绕过X帧选项
05-10
通常,`X-Frame-Options`有三个可能的值:`DENY`、`SAMEORIGIN`和`ALLOW-FROM`。 1. `DENY`:禁止任何网站将页面加载到IFrame中。 2. `SAMEORIGIN`:只允许同源策略下的页面加载,即只有与发送该头部的页面在同一...
大聪明教你学Java | Spring Boot 项目设置 X-Content-Type-Options 响应头
热门推荐
不肯过江东丶
03-04 2万+
大聪明开发的应用系统已经上线三年了,然而就在昨天依然被扫描出了一个漏洞 —— 远程 Web 系统应用程序不采取措施来减轻一类 Web 应用程序漏洞,说白了就是远程网络应用程序不设置 X-Content-Type 响应头。刚看到扫描报告的时候还真有点麻爪,不知道如何下手,最后经过一番努力还是成功的修复了这个漏洞,那么借此机会,大聪明就和大家分享一下如何修复此类漏洞。
X-Content-Type-Options: nosniff
weixin_34040079的博客
03-05 1万+
如果服务器发送响应头 "X-Content-Type-Options: nosniff",则script和styleSheet元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的***。简单理解为:通过设置"X-Content-Type-Options: nosniff"响应标头,对script和styleSheet...
SpringSecurity------HTTP Response Headers(四)
豢龙先生
06-15 1971
Spring Security提供了一组与安全性相关的默认HTTP响应头: 注意:Strict-Transport-Security 只适用于HTTPS Requests如果一个登录用户访问了敏感信息,然后登出,我们不希望非法用户通过点击回退按钮去浏览敏感信息,为了保护用户的内容安全,Spring Security默认禁用缓存。Cache Control请求头需要如下设置: 如果应用程序提供了自己的缓存控制头,Spring Security的Cache Control默认设置就会失效,这样应用程序就可以缓存
响应头缺失、禁用Options方法、解决跨域
m0_37642477的博客
09-02 7184
web安全响应头
【已解决】“X-Content-Type-Options”头缺失或不安全
专注于Java领域开发 关注我 带你玩转Java
06-16 1万+
“X-Content-Type-Options”头缺失或不安全
SpringSecurity限制iframe引用页面。出现X-Frame-Options deny问题
小旭的博客
07-20 8585
由于项目中集成了springSecurity框架,导致页面无法被iframe引用。 网上解决办法很两种,一种是修改web.xml,增加fiflter过滤器,我试了并没解决问题。 Spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Fra...
springBoot springSecurty导致的x-frame-options值为deny问题及跨域问题处理方法
txp1993的专栏
12-24 1万+
1.问题解释说明: X-Frame-OptionsHTTP响应头是用来给浏览器 指示允许一个页面 可否在<frame>,<iframe>,<embed>或者<object>中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免被攻击。 X-Frame-Options有三个可能的值: X-Frame-Option...
【已解决】Tomcat配置“X-Frame-Options头未设置”警告的过滤器(详细)
黑夜的风的博客
11-30 1万+
很久以前,360提示我的网站有"X-Frame-Options头未设置的风险。 网上找了很多教程,大多是其他后台语言的教程。tomcat的配置说的很简略(也许是太过简单,大神们不惜讲)。 小白的我捣鼓了下终于弄好了。现分享下: 【原理】配置http的响应头信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。
X-Frame-Oprion关闭方法
洒家一笑的专栏
10-12 1668
第一种,改代码: 在WebSecurityConfigurerAdapter.configure(HttpSecurity http)中: http.headers().frameOptions().disable(); //关闭 或者: http.headers().frameOptions().sameOrigin(); //设置为SAMEORIGIN 第二种,改配置: S...
spring security怎么配置的X-Frame-Options
04-20
Spring Security中配置X-Frame-Options可以通过以下步骤进行: 1. 首先,确保你的项目中已经引入了Spring Security的依赖。 2. 在Spring Security的配置类中,可以通过使用`headers()`方法来配置X-Frame-Options...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值