Tomcat部署iframe出现Refused to display ‘url‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny‘无法访问问题

最新推荐文章于 2025-09-17 04:07:30 发布
原创 最新推荐文章于 2025-09-17 04:07:30 发布 · 6.2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

在Linux下部署帆软报表项目的时候,使用Tomcat服务器独立部署,部署完成之后发现iframe嵌入的页面无法打开访问,报错Refused to display ‘url’ in a frame because it set ‘X-Frame-Options’ to 'deny’
在这里插入图片描述

使用iframe嵌入网页,浏览器报错:Refused to display ‘url’ in a frame because it set ‘X-Frame-Options’ to ‘deny’。
这是SpringSecurity 防止恶意注入,所以设置了 X-Frame-Options 为deny,网上看到是 加入 httpSecurity.headers().frameOptions().disable();

参考地址:https://www.jianshu.com/p/fd757a0dbdb4

但是我使用的是Tomcat部署,在tomcat 点击劫持:X-Frame-Options未配置。

详细描述
点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。
HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个 iframe 中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。

解决办法

修改web服务器配置,添加X-Frame-Options响应头。赋值有如下三种:

  • 1、DENY:不能被嵌入到任何iframe或者frame中。
  • 2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
  • 3、ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

在tomcat下的conf里的web.xml中增加以下过滤器

<filter>
  <filter-name>httpHeaderSecurity</filter-name>
  <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
  <init-param>
    <param-name>antiClickJackingEnabled</param-name>
    <param-value>true</param-value>
  </init-param>
  <init-param>
    <param-name>antiClickJackingOption</param-name>
    <param-value>SAMEORIGIN</param-value>
  </init-param>
  <async-supported>true</async-supported>
</filter>
<filter-mapping>
  <filter-name>httpHeaderSecurity</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

经测试,配置之后问题已解决。

来自井底的蛙,也一直在仰望星辰大海啊~~

Django:六、使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set ‘X-Frame-Optionstodeny.
浩栋的博客
09-21 9272
使用iframe标签内嵌页面报错;拒绝了我们的连接请求;because it set 'X-Frame-Options' to 'deny'.
Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'.
YangFanJ的博客
06-29 1万+
说明:前端使用layui。tab嵌套iframe,在加入security之前并无异常。springmvc 在整合spring security时,浏览器发送请求,出现解决:在继承WebSecurityConfigurerAdapter的子类的覆盖方法configure(HttpSecurity)里面添加:http.headers().frameOptions().sameOrigin();百度查找...
in a frame because it set 'X-Frame-Options' to 'deny'.
是卿卿
03-01 1万+
问题是做文件导出的时候遇到的。 1.在前端加 &lt;security:http auto-config="true" use-expressions="true"&gt; &lt;security:headers&gt; &lt;security:frame-options policy="SAMEORIGIN"/&gt; &lt;/security:hea
Tomcat中的HTTP响应头X-Frame-Options配置详解
gitblog_00058的博客
09-17 1233
在Web安全领域,点击劫持(Clickjacking)是一种常见的攻击手段,攻击者通过将目标网站嵌入到恶意页面的iframe中,诱导用户在不知情的情况下点击被精心伪装的按钮或链接。X-Frame-Options HTTP响应头正是为防御此类攻击而生,它允许网站管理员控制自己的内容是否可以被其他网站嵌入到iframe中。 **X-Frame-Options有三个可能的值**: - `DENY`:完...
Refused to display ‘http://...in a frame because it set ‘X-Frame-Optionstodeny.解决方式
kejizhentan的博客
02-06 2万+
在使用springsecurity时候经常会出现Refused to display ‘http://localhost:9999/admin/toAdminWelcome’ in a frame because it set ‘X-Frame-Optionstodeny.错误,只需要做以下设置即可: http.headers().frameOptions().sameOrigin(); 有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-O.
浏览器 in a frame because it set ‘X-Frame-Optionstodeny
java_han的专栏
03-26 1861
在用spring boot项目时,整合了springSecurity框架,结果iframe中界面无法显示出来,按F12查看问题,结果显示访问的界面有in a frame because it set 'X-Frame-Options' to 'deny'提示, 解决办法如下: 在我的SecurityConfig类的configure方法中,增加头设置http.headers().frameOptions().sameOrigin();,如下所示: public class WebSecurity.
in a frame because it set 'X-Frame-Options' to 'DENY'.
04-28 1万+
方法1: 在弹出iframe在jsp页面添加如下代码: response.setHeader("X-Frame-Options", "SAMEORIGIN"); %> 方法2: 在response中设置头信息。 response.setHeader("X-Frame-Options", "SAMEORIGIN");
Refused to display xxx in a frame because it set X-Frame-Options to deny
07-27
如果你遇到了"Refused to display xxx in a frame because it set X-Frame-Options to deny"的错误,说明该页面设置了X-Frame-Optionsdeny,所以无法在frame中展示。这是一种安全措施,以保护网站的内容不被恶意...
layui 的嵌套页面异常Refused to display in a frame because it set ‘X-Frame-OptionstoDENY
尽力漂亮的博客
10-15 1049
响应头中X-Frame-Options被设置为DENY,如下图 解决方案: import org.springframework.boot.autoconfigure.EnableAutoConfiguration; import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration; import org.springframework.context.annotation.Configura
关于嵌套使用 iFrame 出现 Refused to display in aframe 拒绝连接访问 和 ‘X-Frame-Optionsto ‘SAMEORIGIN‘ 的解决方案【已解决】
XH_jing的博客
05-26 3万+
目录问题描述原因分析问题解决总结 今天在迁移旧项目时,出现了如下错误提示: Refused to display in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN' 问题描述 当前项目是一个生产环境正常运行的项目,由于我们要迁移服务器并且部署 k8s,所以需要重新部署上线该项目。 使用 iframe 的场景就是在一个容器中展示另一个页面(也是我们自己的页面,只不过域名不同)才会抛出这个错误。 这个项目的在测试环境和生产环境都是可以正
iframe使用http链接无法打开报错Refused to display '<URL>' in a frame because it set 'X-Frame-Options' to 'deny'.
最新发布
10-18
当使用iframe打开http链接,因`X-Frame-Options`设置为`deny`而报错时,不同场景下有不同的解决办法: ### 使用Spring Security 在使用Spring Security时,可进行如下设置: ```java http.headers().frameOptions()...
Java工程报错:Refused to display URL in a frame because it set X-Frame-Options to deny问题详解
雾林小妖的博客
09-03 2907
springboot工程整合springSecurity报错:Refused to display URL in a frame because it set X-Frame-Options to deny问题详解
django3 Refused to displayurlin a frame because it set ‘X-Frame-Optionstodeny
陈新明博客
07-14 1680
django3 Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny' 背景 使用django3进行开发时,由于项目前端页面使用iframe框架,浏览器错误提示信息如下: Refusedtodisplay'url'inaframebecauseitset'X-Frame-Options'to'deny' 根据提示信息发现是因为X-Frame-Options=deny导致的...
BUG: in a frame because it set 'X-Frame-Options' to 'deny'
马志宇的专栏
03-26 1万+
in a frame because it set 'X-Frame-Options' to 'deny'
Spring Security:Refused to display '<URL>' in a frame because it set 'X-Frame-Options' to 'deny'.
建设美丽祖国
04-06 1899
在Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置参数含义如下: DENY:浏览器拒绝当前页面加载任何Frame页面 SAMEORIGINframe页面的地址只能为同源域名下的页面 ALLOW-FROM:ori...
Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'报错
DCFANS的博客
06-10 4875
今天写项目的时候遇到了一个问题,使用iframe嵌入网页,浏览器报错:Refused to displayurlin a frame because it set ‘X-Frame-Optionstodeny’。 网上查了一下原因:是SpringSecurity 防止恶意注入,所以设置了X-Frame-Optionsdeny。如下图: 解决问题,把这个X-Frame-Optio...
Spring Boot 出现 in a frame because it set 'X-Frame-Options' to 'DENY'
weixin_30649641的博客
09-27 834
在spring boot项目中出现不能加载iframe 页面报一个"Refused to display 'http://......' in a frame because it set 'X-Frame-Options' to 'DENY'."错误 解决方式: 因spring Boot采取的java config,在配置spring security的位置添加: @Override ...
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
热门推荐
元宇宙1314
08-27 4万+
最近在一个扯蛋的项目中遇到一堆渗透测试的问题。其中有一个“X-Frame-Options漏洞”问题。我抓耳挠腮的一度不知道怎么解决,最后在我的不屑坚持下.......嘻嘻。愿遇到该BUG的人都能处理掉。我们先看看渗透报告中的东西,以失败而告终。 广告:由于我的博文《docker实现离线地图server》怎么写都搜不到,所以请原谅我这样无耻的推广~~:https://blog.csdn...
文件上传时报错in a frame because it set 'X-Frame-Options' to 'deny'.
彼岸舞的博客
03-17 1843
问题: 文件上传时报错:in a frame because it set 'X-Frame-Options' to 'deny'. 原因: 因为使用SpringSecurity的原因,spring Security下,X-Frame-Options默认为DENY 解决方案: 在SpringSecurity的配置类中设置一下 继承自WebSecurityConfigureAdapter 在里面...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

千里马不常有

整理不易,点滴助力就是不竭动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值