前段时间项目里前端页面嵌入到别的系统的ifream,报错:Refused to display http://xxxxxx.cn/' in a frame because it set X-Frame-Options to deny。
后来差了一些资料,是浏览器安全方面的设置问题。请求响应头里需要加一个返回参数来设置和ifream嵌入相关的设置。
先说报错啥意思,这个报错的意思是,浏览器X-Frame-Options参数是 deny。简单解释一下这个参数:
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-Options信息
使用 X-Frame-Options 有三个可选的值:
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:origin为允许frame加载的页面地址
注意:
SAMEORIGIN兼容了DENY和ALLOW-FROM,所以经常设置为SAMEORIGIN
从这看就知道,默认的是deny,不允许嵌入。所以需要修改这个参数。
修改方法有很多,一种是在spring security里设置,如图:
http.headers().frameOptions().sameOrigin();
当然还有别的方式,只要是能让返回的http的herder里这个参数值就行。也可以在ngix设置:
add_header X-Frame-Options SAMEORIGIN;
然后测试了,无效。
后面就找了其他的办法,设置了另一个参数:Content-Security-Policy,设置值为,frame-ancestors self *;report-uri /api/security/csp-report,我用的是ngix的设置,解决了这个问题。具体为:
add_header Content-Security-Policy "frame-ancestors self *;report-uri /api/security/csp-report";
这一行可以i加载http块、server块或者location块,都可以。不用ngix的,找一个公共的地方,保证能给请求响应添加这个参数就行。
希望这个经验,对你有用。