spring security 'X-Frame-Options' to 'deny'.

最新推荐文章于 2023-09-21 22:23:38 发布

原创最新推荐文章于 2023-09-21 22:23:38 发布 · 781 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#java #security #spring

本文详细介绍了在SpringBoot项目中引入Spring Security后遇到的X-Frame-Options导致的页面加载错误问题及其解决方案。通过覆盖configure(HttpSecurity http)方法，禁用frameOptions，解决页面框架无法获取子页面的问题。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

springboot 2.1.3 RELEASE

引入security

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

html使用了 frameset 标签，在请求页面的时候就会报错，类似

'X-Frame-Options' to 'deny'.

解决办法

在 WebSecurityConfigurerAdapter 的继承实现类里面覆盖 configure(HttpSecurity http)

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.headers().frameOptions().disable().// 解决页面框架不能获取子页面
                and().
                csrf().disable().authorizeRequests()
                .antMatchers("/login","/regist","/user/regist")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .loginProcessingUrl("/user/login")
                .permitAll()
                .successHandler((httpServletRequest, httpServletResponse, authentication) -> {
                    System.out.println("登陆成功处理==============");
                    //跳转到首页
                    httpServletResponse.sendRedirect("/main");
                })
                .failureHandler((httpServletRequest, httpServletResponse, e) -> {
                    System.out.println("登陆失败处理=============");
                    //返回到登陆页面
                    httpServletResponse.sendRedirect("/login");
                })
                .and()
                //登出
                .logout()
                .logoutSuccessHandler(((httpServletRequest, httpServletResponse, authentication) -> {
                    System.out.println("登出成功处理=============");
                    httpServletResponse.sendRedirect("/login");
                }));
//                .and()
//                .exceptionHandling()
//                .authenticationEntryPoint(((httpServletRequest, httpServletResponse, e) -> {
//                    //应该回到当前页面，并且状态不变
//                }));
    }

有注释 // 解决页面框架不能获取子页面 那里就是解决的代码了，网上都没有加上.add()，不完整。