通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白

最新推荐文章于 2025-03-15 16:17:06 发布
最新推荐文章于 2025-03-15 16:17:06 发布
阅读量6.1k 收藏 2
点赞数 1
分类专栏: spring-security
本文介绍如何在Spring Security及非Spring Security环境下修改X-Frame-Options默认DENY策略,包括DENY、SAMEORIGIN及ALLOW-FROM的含义,并提供在Tomcat环境下通过web.xml配置的具体方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文转自:http://blog.youkuaiyun.com/princeluan/article/details/73268637
spring Security下,X-Frame-Options默认为DENY,非spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:origin为允许frame加载的页面地址。
在tomcat8以后的版本中,可以通过在web.xml中定义filter设置X-Frame-Options,如下:

<filter>  
    <filter-name>httpHeaderSecurity</filter-name>  
    <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>  
    <init-param>  
        <param-name>antiClickJackingOption</param-name>  
        <param-value>SAMEORIGIN</param-value>  
    </init-param>  
    <async-supported>true</async-supported>  
</filter>  

<filter-mapping>  
    <filter-name>httpHeaderSecurity</filter-name>  
    <url-pattern>/*</url-pattern>  
</filter-mapping>

方法二:

<security:http auto-config="true" use-expressions="true">
<security:headers>
   <security:frame-options policy="SAMEORIGIN"/>
</security:headers>

security中的X-Frame-Options的默认DENY改掉了!

Spring Security设置X-Frame-Options响应头
mt23
08-25 5098
前言 被Security管理的接口中,其中可能包含html页面,而前端在开发时,可能使用frame标签。为了系统安全性,默认情况下X-Frame-Options是禁止的。 HTTP 响应头X-Frame-Options 说明 X-Frame-Options HTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面<frame>,<iframe>或<object>。通过确保其内容未嵌入其他网站,网站可以使用此功能来避免 点击劫持 攻击 取值说明
X-Frame-Options Spring Security 跨域访问问题!
爱我中华之笔耕不缀!
03-11 1万+
关于X-Frame-Options配置,从网上搜索资料,大部分都描述了Apache、Ngix、IIS如何配置此项,但常用的tomcat如何配置?涉及Spring Security如何处理?这类问题还是没有找到现成的方案,动手折腾好了,遂整理下来,供自己和别人参考!         Spring Security下,X-Frame-Options默认为DENY,非Spring Security
SringSecurity5.7(最新)设置X-Frame-Options
Wong_H的博客
09-25 1303
SringSecurity5.7(最新)设置X-Frame-Options
通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白 iframe调用问题
weixin_33724059的博客
01-10 772
 spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面设置含义如下:     DENY:浏览器拒绝当前页面加载任何Frame页面    SAMEORIGIN:frame页面的地址只能为同源域名下的页面    ALLOW-F...
sed to display ‘http://localhost:8081/‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny
最新发布
qq_35683545的博客
03-15 496
错误信息表明,浏览器拒绝在 中加载 ,因为服务器返回的响应头中设置了 。这是浏览器的一种安全机制,用于防止点击劫持攻击。 是 HTTP 响应头的一部分,用于控制页面是否可以在 中加载。常见的值包括::禁止页面在任何 中加载。:只允许同源页面在 中加载。:允许指定来源的页面在 中加载(已弃用)。默认情况下,Spring Security设置 ,导致页面无法在 中加载。在 Spring Security 配置中禁用 ,允许页面在 中加载。 2.2 允许同源加载 如果希望允许同源页面
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2612
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
Spring Security6使用iframe失败,localhost 拒绝了我们的连接请求
Aimer51129的博客
06-21 1407
经排查发现controller可以正常访问,权限和路径已放权,说明问题出在iframe调用上,嵌套页面无法显示可能是由于Spring Security将浏览器的安全策略做了限制。③allow-from:origin为允许frame加载的页面地址。②sameorign:frame页面的地址只能为同源域名下的页面。修改SecurityConfiguration.java。①deny:浏览器拒绝当前页面加载任何Frame页面。我用的是6版本,所以5的写法标红了。
解决SpringSecurity限制iframe引用页面的问题
一个爱搞技术的C.的博客
12-03 1008
使用Spring Security的过程中,需要使用iframe来引入其他域的页面页面会报X-Frame-Options的错误,试了好几种方法一直未能很好的解决这个问题。 这里涉及到Spring Security的一个配置Spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY...
springSecurity6.4.1配置X-Frame-Options
12-28
为了在 Spring Security 6.4.1 中配置 `X-Frame-Options` HTTP 安全响应头,可以利用内置的安全配置方法。此头部用于指示浏览器是否应该允许在一个 `<frame>` 或 `<iframe>` 中加载页面,以此预防点击劫持攻击。 ...
Druid嵌入IFrame显示 'X-Frame-Options' to 'deny'解决办法
YingTao8的博客
07-29 2525
问题: 项目中打算把Druid的界面用IFrame嵌入前端页面中,访问的时候出现 /druid/index.html' in a frame because it set 'X-Frame-Options' to 'deny' 造成原因: 因为项目中使用的认证安全框架是SpringCloud Oauth2,它又依赖于SpringSecurity SpringSecurity为了防止...
spring security怎么配置的X-Frame-Options
04-20
Spring Security配置X-Frame-Options可以通过以下步骤进行: 1. 首先,确保你的项目中已经引入了Spring Security的依赖。 2. 在Spring Security配置类中,可以通过使用`headers()`方法来配置X-Frame-Options...
解决iframe 请求security出现X-Frame-Options
我是一只蘑菇17的博客
09-27 1376
>>>> Springboot 2.x 要在继承了 WebSecurityConfigurerAdapter 的配置类中配置。插入.and().headers().frameOptions().在开发SpringSecurity配置的项目时,返回带有。结合SpringBoot只要在页面访问控制的配置中加上。()//防止iframe内容无法显示,解决问题!()//防止iframe内容无法显示。的页面时,无法显示。打开页面工具看到提示。
嵌套页面访问 X-Frame-OptionsDENY
weixin_46883180的博客
06-08 427
嵌套页面访问 X-Frame-Options "DENY"
Spring Security漏洞防护—HTTP 安全响应头
深圳市多克创新科技有限公司
10-24 2431
Spring Security漏洞防护—HTTP 安全响应头
Spring Security配置 解决X-Frame-Options deny 造成的页面空白 iframe调用问题
xqhys的博客
02-13 3371
转载:http://www.cnblogs.com/zmc/p/8260786.html spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面设置含义如下:     DENY:浏览器拒绝当前页面加载任何Frame页面  ...
SpringSecurity限制iframe引用页面。出现X-Frame-Options deny问题
小旭的博客
07-20 8756
由于项目中集成了springSecurity框架,导致页面无法被iframe引用。 网上解决办法很两种,一种是修改web.xml,增加fiflter过滤器,我试了并没解决问题。 Spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Fra...
Spring Boot 不允许加载iframe问题解决
MIYAOW
08-07 6112
spring Security下,X-Frame-Options默认为DENY,非spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面设置含义如下:     DENY:浏览器拒绝当前页面加载任何Frame页面     SAMEORIGIN:frame页面的地址只能为同源域名下的页面     AL
application.properties详解 --springBoot配置文件
热门推荐
LPF的博客
10-19 3万+
# spring boot application.properties配置的各个属性详解 # 该示例文件作为标准提供。(官方文档 翻译过来的) # 还是花了些功夫翻译,各位如果转发,请留下本文地址,谢谢 # 翻译过程中难免出现翻译错误的地方,如果有哪位大神发现有错误的地方,请您留言指正,感激不尽,共同进步。 # created  by lpf in 2017/10/19 # = = =
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值