本文探讨了在使用SpringSecurity时遇到的X-Frame-Options问题,该问题导致无法通过iframe加载其他域的页面。文章详细解释了X-Frame-Options的三种设置:DENY、SAMEORIGIN和ALLOW-FROM,并提供了解决方案,即通过SpringSecurity配置禁用X-Frame-Options。
用Spring Security的过程中,需要使用iframe来引入其他域的页面,页面会报X-Frame-Options的错误,试了好几种方法一直未能很好的解决这个问题。
这里涉及到Spring Security的一个配置,Spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:origin为允许frame加载的页面地址。
解决方法:
<security:http auto-config="true" use-expressions="true">
<security:headers>
<security:frame-options disabled="true"/>
</security:headers>
</security:http>
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
