2. 程式人生 > >SpringSecurity限制iframe引用頁面。出現X-Frame-Options deny問題

SpringSecurity限制iframe引用頁面。出現X-Frame-Options deny問題

阿新 發佈:2018-11-13

由於專案中集成了springSecurity框架,導致頁面無法被iframe引用。

網上解決辦法很兩種,一種是修改web.xml,增加fiflter過濾器,我試了並沒解決問題。

Spring Security下,X-Frame-Options預設為DENY,非Spring Security環境下,X-Frame-Options的預設大多也是DENY,這種情況下,瀏覽器拒絕當前頁面載入任何Frame頁面,設定含義如下:

    DENY:瀏覽器拒絕當前頁面載入任何Frame頁面
    SAMEORIGIN:frame頁面的地址只能為同源域名下的頁面
    ALLOW-FROM:origin為允許frame載入的頁面地址。

解決辦法:

在Spring-Security.xml檔案裡配置如下:

這種配置是不同源域名下也可訪問:

宣告一下:若為ALLOW-FROM模式,必須配置strategy屬性和value屬性。否則專案啟動報錯。

value屬性應該就是需要被外部iframe引用的頁面。

<!-- 解決iframe無法引入頁面問題 -->
<security:http auto-config="true" use-expressions="true">
        <security:headers>
        	<security:frame-options policy="ALLOW-FROM" strategy="static" value="/chart.html**"/>
        </security:headers>
</security:http>

若同源域名下則可配置即可解決(不用設定strategy和value屬性):

<security:http auto-config="true" use-expressions="true">
    <security:headers>
        <security:frame-options policy="SAMEORIGIN"/>
    </security:headers>
</security:http>

希望遇到的問題可以幫到其他人哦!!!解決了一早上~

終極解決辦法(可以嘗試一下,會有驚喜):

<security:http auto-config="true" use-expressions="true">
    <security:headers>
        <security:frame-options disabled="true"/>
    </security:headers>
</security:http>

 

相關推薦

SpringSecurity限制iframe引用頁面出現X-Frame-Options deny問題

由於專案中集成了springSecurity框架,導致頁面無法被iframe引用。 網上解決辦法很兩種,一種是修改web.xml,增加fiflter過濾器,我試了並沒解決問題。 Spring Security下,X-Frame-Options預設為DENY,非Spring Securit

springBoot springSecurty x-frame-options deny

專案中用到iframe嵌入網頁,然後用到springsecurity就被攔截了 瀏覽器報錯  x-frame-options deny 原因是因為springSecurty使用X-Frame-Options防止網頁被Frame 解決辦法把x-frame-options d

oauth X-Frame-Options 跳轉授權頁面時,302重定向禁用iframe

授權 ngx auth option rest pairs 測試 authorize iframe 因為oauth/authorize響應頭包含X-Frame-Options: DENY解決方案:openresty nginx 移除該屬性,經測試生效 more_clear

HTML學習筆記 iframe引用頁面按列(針對target打開方式解釋) 第九節 (原創)

type head -- eight frame top target span utf <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"&

iframe引用頁面在父類頁面呼叫函式只重新整理子頁面方法

###apache的axis需要的jar <dependency> <groupId>org.apache.axis</groupId> <arti

Web安全 之 X-Frame-Options響應頭配置

編制 可能 腳本編制 攻擊 invalid mis itl pla snippet   最近項目處於測試階段,在安全報告中存在" X-Frame-Options 響應頭缺失 "問題,顯示可能會造成跨幀腳本編制攻擊,如下圖:      X-Frame-Options:   值

X-Frame-Options頭 信息 WEB安全問題的修復

tom always 避免 apach -o 使用 可能 來源 blank X-Frame-Options 響應頭 X-Frame-Options HTTP響應頭是用來確認是否瀏覽器可以在frame或iframe標簽中渲染一個頁面,網站可以用這個頭來保證他們的內容不會被嵌入

apache iis 使用HTTP 響應頭資訊中的 X-Frame-Options屬性

原文:https://www.jb51.net/article/109436.htm 方法三:使用HTTP 響應頭資訊中的 X-Frame-Options屬性 使用 X-Frame-Options 有三個可選的值: DENY:瀏覽器拒絕當前頁面載入任何Frame頁面SAMEORIGIN:

Cookie 缺少 HttpOnly屬性和x-frame-options 缺失問題

過濾器dofileter 方法中 新增 HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse res = (HttpServletResponse) response; res.addHead

Web漏洞之X-Frame-Options未設定或者缺失

發現專案中存在 X-Frame-Options 低危漏洞: 使用 X-Frame-OptionsEDIT X-Frame-Options 有三個值: DENY 表示該頁面不允許在 frame 中展示,即便是在相同域名的頁面中巢狀也不允許。

【建站知識】360安全檢測出輕微 X-Frame-Options頭未設定,iis、apache、nginx使用X-Frame-Options防止網頁被Frame的解決方法

當然也是因為被360檢測到了示"X-Frame-Options頭未設定",根據360的提示與百度了一些網上的一些資料整理了下,完美解決問題。 首先看下360給出的方案,但麼有針對伺服器的具體設定,不是每個人對伺服器都很懂啊。 描述: 目標伺服器沒有返回一個X-Frame-Options頭。

Refused to display in a frame because it set 'X-Frame-Options' to 'DENY'的解決辦法

今天遇到了iframe模式上傳圖片或者iframe巢狀頁面時,會報如下異常資訊:“Refused to display in a frame because it set 'X-Frame-Options' to 'DENY' 這個問題找了好久資料,好多種解決方法: 一、 response.

x-frame-options Cross Frame Scripting(Clickjacking)

客戶的資安檢查報告裡發現開發的網站沒有加入 x-frame-options 的設定值。 X-Frame-Options 共有三種值: DENY 表示檔案無論如何都不能被嵌入到 frame 中,即使是自家網站也不行。 SAMEORIGIN 唯有當符合同源政策下,才能被嵌入到 frame 中。 ALLOW-F

X-Frame-Options 響應頭避免點選劫持

配置 Apache配置 Apache 在所有頁面上傳送 X-Frame-Options 響應頭,需要把下面這行新增到 ‘site' 的配置中: Header always append X-Frame-Options SAMEORIGIN?新增後重啟apache

關於X-Frame-Options 響應頭配置避免點選劫持攻擊的問題整理

2018.05.07 客戶反映學校網站被掃描到X-Frame-Options Header未配置漏洞經查詢得到的解決方案一:配置 Apache配置 Apache 的httpd.conf 在所有頁面上傳送 X-Frame-Options 響應頭,需要把下面這行新增到配置中:H

X-Frame-Options 響應頭配置避免點選劫持攻擊

X-Frame-Options HTTP 響應頭是用來給瀏覽器指示允許一個頁面可否在 <frame>, <iframe> 或者 <object>中展現的標記。網站可以使用此功能,來確保自己網站的內容沒有被嵌到別人的網站中去,也從而避免了點選劫持 (clickjacki

spring boot 異常Refused to display in a frame because it set 'X-Frame-Options' to 'DENY'

spring boot專案,請求回來,響應頭中X-Frame-Options被設定為DENY,如下圖 這個會導致使用iframe模式上傳圖片或者iframe巢狀頁面時,會報如下異常資訊: Refused to display in a frame bec

關於HTTP頭部資訊X-Frame-Options的問題-防止網站被人巢狀

有時候為了防止網頁被別人的網站iFrame,我們可以通過在伺服器設定HTTP頭部中的X-Frame-Options資訊 使用 X-Frame-Options 有三個可選的值: DENY:瀏覽器拒絕當前頁面載入任何Frame頁面 SAMEORIGIN:frame頁面的地址只能

關於 tomcat 與X-Frame-Options

公司專案 漏洞修復 有一條 “點選劫持:X-Frame-Options未配置”,在網上查了很多資料 基本上都是下面的內容 使用 X-Frame-Options 有三個可選的值: DENY:瀏覽器拒絕當前頁面載入任何Frame頁面 SAMEORIGIN:frame頁面

HTTP響應頭之X-Frame-Options, X-XSS-Protection

X-Frame-Options: DENY 由於在iframe.html中 <!DOCTYPE html> <html> <head> <title>iframe</title