springboot无法加载静态资源，资源已被阻止，因为 MIME 类型（“text/html”）不匹配（X-Content-Type-Options: nosniff）

原创于 2020-02-13 13:00:10 发布 · 9.7k 阅读

11 ·

CC 4.0 BY-SA版权

文章标签：

#java #spring #spring boot

请进路上的bug 专栏收录该内容

19 篇文章

订阅专栏

本文介绍如何通过在继承WebSecurityConfigurerAdapter的类中添加特定代码来解决安全配置问题，具体为禁用CSRF保护，允许部分URL无需认证访问，并设置X-Content-Type-Options头以加载静态资源。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

这个问题需要在继承WebSecurityConfigurerAdapter的类中添加一段代码就可以解决

添加 http.headers().frameOptions().sameOrigin(); 这段代码如我的下面代码

**例如我的继承类securityConfig **

public class securityConfig extends WebSecurityConfigurerAdapter{
@Override
   protected void configure(HttpSecurity http) throws Exception {
       http.headers().contentTypeOptions().disable();
       http.csrf().disable();//防止跨站点请求伪造
       http.authorizeRequests()
               .antMatchers("/login.html","/user/add","/xAdmin/**","/treetable-lay/**","ztree/**","/static/**")
               .permitAll()
               .anyRequest()
               .authenticated();
               
           // X-Content-Type-Options头设置应许加载静态资源
          // X-Content-Type-Options头设置应许加载静态资源
       http.headers().frameOptions().sameOrigin();


       http.formLogin()
               .loginPage("/login.html")//指定登录的html页面
               .loginProcessingUrl("/login")//指定的处理路径
               .successHandler(myAuthenticationSuccessHander)
               .failureHandler(myAuthenctiationFailureHandler);
   }
}