通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白 iframe调用问题
2018-01-10 21:08
489 查看
spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:origin为允许frame加载的页面地址。在tomcat8以后的版本中,可以通过在web.xml中定义filter设置X-Frame-Options,如下:[java] view plain copy<filter><filter-name>httpHeaderSecurity</filter-name><filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class><init-param><param-name>antiClickJackingOption</param-name><param-value>SAMEORIGIN</param-value></init-param><async-supported>true</async-supported></filter><filter-mapping><filter-name>httpHeaderSecurity</filter-name><url-pattern>/*</url-pattern></filter-mapping>方法二:
<http use-expressions="true" auto-config="true">
<form-login login-page="/login.do" always-use-default-target="false" />
<logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.do"/>
<!-- 免登录验证,当session还在,防问是会自己登录 -->
<remember-me/>
<custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="myFilter"/>
<access-denied-handler ref="accessDeniedHandler"/>
<!-- 4.0以后默认打开csrf,不允许post,设置为不打开 -->
<csrf disabled="true"/>
<!-- 4.0以后X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面 -->
<headers>
<frame-options policy="SAMEORIGIN"/>
</headers>
</http>
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:origin为允许frame加载的页面地址。在tomcat8以后的版本中,可以通过在web.xml中定义filter设置X-Frame-Options,如下:[java] view plain copy<filter><filter-name>httpHeaderSecurity</filter-name><filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class><init-param><param-name>antiClickJackingOption</param-name><param-value>SAMEORIGIN</param-value></init-param><async-supported>true</async-supported></filter><filter-mapping><filter-name>httpHeaderSecurity</filter-name><url-pattern>/*</url-pattern></filter-mapping>方法二:
<security:http auto-config="true" use-expressions="true"> <security:headers> <security:frame-options policy="SAMEORIGIN"/> </security:headers>
<http use-expressions="true" auto-config="true">
<form-login login-page="/login.do" always-use-default-target="false" />
<logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.do"/>
<!-- 免登录验证,当session还在,防问是会自己登录 -->
<remember-me/>
<custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="myFilter"/>
<access-denied-handler ref="accessDeniedHandler"/>
<!-- 4.0以后默认打开csrf,不允许post,设置为不打开 -->
<csrf disabled="true"/>
<!-- 4.0以后X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面 -->
<headers>
<frame-options policy="SAMEORIGIN"/>
</headers>
</http>
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白
- 通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白
- html 高手解决 <Iframe></frame>间的退回上一页面问题
- 在用到iframe的前端页面调用c++的或者android方法时提示找不到方法问题解决
- 通过伪协议解决父页面与iframe页面通信的问题
- [原创]IE6下wbox弹出iframe窗口加载页面空白问题解决
- 解决在项目里引入Spring Security后iframe或者frame所引用的页无法显示的问题
- IE6下iFrame页面嵌套html空白问题解决
- 通过伪协议解决 父页面与iframe页面通信的问题
- 解决ios6下通过Cordova弹出图片选择页面,造成应用crash问题
- 关于uchome页面不能被iframe调用的问题,已解决!
- 在用到iframe的前端页面调用c++的或者android方法时提示找不到方法问题解决
- Jenkins遇到问题一:jenkins配置权限不对导致无法登陆或者空白页面解决办法
- IE6下iFrame页面嵌套html空白问题解决
- 通过伪协议解决 父页面与iframe页面通信的问题
- 通过“document.write”方式,在js文件引入js文件时,造成页面空白问题
- asp.net页面中Menu控件下拉菜单被frame挡住和iframe自适应高度的解决办法
- Moss2007搜索服务配置,没有索引器和搜索配置页面报错问题解决
- 解决刷新页面造成的数据重复提交问题
- 终于解决了一个困扰我许久的问题:通过window.showModalDialog打开的页面,Form提交,标题丢失