X-Frame-Options Spring Security 跨域访问问题!

最新推荐文章于 2025-04-07 08:51:32 发布
原创 最新推荐文章于 2025-04-07 08:51:32 发布 · 1.3w 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#X-Frame-Options #tomcat #Spring Security

本文探讨了在Spring Security框架下遇到的X-Frame-Options跨域访问问题。默认设置为DENY,阻止了页面在Frame中加载。在Tomcat 8及以上版本,可以通过修改web.xml配置filter来设定X-Frame-Options,但实践中发现Spring Security的DENY配置仍然生效。解决方案是调整Spring Security的配置,以允许特定来源的Frame加载。另外,文中提及可以通过自定义filter实现相同功能,但未进行验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


   关于X-Frame-Options的配置,从网上搜索资料,大部分都描述了Apache、Ngix、IIS如何配置此项,但常用的tomcat如何配置?涉及Spring Security如何处理?这类问题还是没有找到现成的方案,动手折腾好了,遂整理下来,供自己和别人参考!    

    Spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:

    DENY:浏览器拒绝当前页面加载任何Frame页面
    SAMEORIGIN:frame页面的地址只能为同源域名下的页面
    ALLOW-FROM:origin为允许frame加载的页面地址。

    在tomcat8以后的版本中,可以通过在web.xml中定义filter设置X-Frame-Options,如下:

    <filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <init-param>
            <param-name>antiClickJackingOption</param-name>
            <param-value>SAMEORIGIN</param-value>
        </init-param>
        <async-supported>true</async-supported>
    </filter>
    
    <filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

   根据大家的说法,这样的配置会覆盖掉Spring Security中的配置,但在下这里却恰恰相反,还是Spring  4 Security中默认的DENY更加顽固,查Spring Security手册,有点乱,好在看明白了,配置如下:

<security:http entry-point-ref="casAuthenticationEntryPoint"  create-session="always" auto-config="true">
    <security:headers>
    	<security:frame-options policy="SAMEORIGIN"/>
    </security:headers>
   这样就把Spring 4 Security中的X-Frame-Options的默认DENY改掉了!

   据说还有一种办法,那就是自己实现一个filter,我认为和上文所述的第一种方法大同小异,故没有去验证,有兴趣的朋友不妨一试!

    


Spring Security设置X-Frame-Options响应头
mt23
08-25 5117
前言 被Security管理的接口中,其中可能包含html页面,而前端在开发时,可能使用frame标签。为了系统安全性,默认情况下X-Frame-Options是禁止的。 HTTP 响应头X-Frame-Options 说明 X-Frame-Options HTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面<frame>,<iframe>或<object>。通过确保其内容未嵌入其他网站,网站可以使用此功能来避免 点击劫持 攻击 取值说明
关于nginx的HTTP Response响应头字段X-Frame-Options,报错CORS
qq_42869878的博客
10-13 2078
关于nginx的HTTP Response响应头字段X-Frame-Options 什么是X-Frame-Options HTTP有一个特殊的Response响应头字段X-Frame-Options,它可以指示是否允许浏览器在<iframe>、<frame>、<embed>和<object>里渲染。许多站点可以利用这个头字段避免clickjacking的攻击,这是一个浏览器安全问题,简单来说就是可以使用程序模拟用户恶意点击页面相关的DOM元素,比如在登录页
Spring Security禁用X-Frame-Options
2401_85480529的博客
09-18 679
Spring Security 中用来配置 HTTP 头的安全选项,具体用于禁用浏览器的。中加载页面(例如,嵌入其他页面或允许外部页面嵌入你的网站),你需要禁用这个选项。默认情况下,Spring Security 会为所有响应添加。,你可以关闭 Spring Security 默认设置的。在某些情况下,如果你的网站或应用程序需要在。它通过控制浏览器是否允许页面在。加载,从而避免点击劫持攻击。中,而不会被浏览器阻止。,因此页面可以被嵌入到。中被加载来保护用户。,表示页面不能被任何。
iframe嵌套第三方网址报错
最新发布
CSDN博客技术,java高级工程师,业务层架构师,高级管理认证,毕业设计可以联系我
04-07 784
X-Frame-Options 是一个 HTTP 响应头部,用于防止网站被嵌入到其他网站的 iframe 中。该协议定义了一些选项,使网站可以控制在哪些网站中可以嵌入自己的内容,从而防止网站被点击劫持攻击。如果网站设置了 X-Frame-Options 响应头部,浏览器会根据该选项来决定是否允许在 iframe 中显示该网站的内容。Refused to display ‘嵌套的网址’ in a frame because it set ‘X-Frame-Options’ to ‘sameorigin’.
nginx 设置, X-Frame-Options
lihailin8的专栏
04-07 3884
X-Frame-Options 响应头 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 X-Frame-Options ...
通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白
一个爱搞技术的C.的博客
12-01 1710
springSecurity下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下: DENY:浏览器拒绝当前页面加载任何Frame页面 SAMEORIGIN:frame页面的地址只能为同源名下的页面 ALLOW-FROM:origin...
使用Iframe时针对X-Frame-Options问题的解决方案-Nginx(亲测有效)
热门推荐
weixin_44588243的博客
04-28 2万+
只需一个配置,轻松解决X-Frame-Options问题 效果展示: 1、存在问题: 2、解决问题 对iframe引入的http://com.ityj.frame/xframe/hello项目,通过nginx过滤掉X-Frame-Options的配置 操作如下: location / { #root html; #index index.html index.htm; proxy_pass http://com.ityj.frame; proxy_hide_header X-Fr
spring security怎么配置的X-Frame-Options
04-20
Spring Security中配置X-Frame-Options可以通过以下步骤进行: 1. 首先,确保你的项目中已经引入了Spring Security的依赖。 2. 在Spring Security的配置类中,可以通过使用`headers()`方法来配置X-Frame-Options...
spring security 关闭 X-Frame-Options
07-20
您可以在Spring Security中关闭X-Frame-Options的方式是通过配置`Content-Security-Policy`来代替,具体操作如下: 1. 在Spring Security的配置类或者XML配置文件中添加以下代码: ```java @EnableWebSecurity ...
springSecurity6.4.1配置X-Frame-Options
12-28
为了在 Spring Security 6.4.1 中配置 `X-Frame-Options` HTTP 安全响应头,可以利用内置的安全配置方法。此头部用于指示浏览器是否应该允许在一个 `<frame>` 或 `<iframe>` 中加载页面,以此预防点击劫持攻击。 ...
记一次fream嵌套问题(X-Frame-Options,SameSite)
qq_41809490的博客
08-12 2689
Refused to display 'http://www.xxx.xxx/xxx/xxx'in a frame because it set 'X-Frame-Options' to 'someorigin'. X-Frame-Options 有三个值:DENY 表示该页面不允许在 frame 中展示,即便是在相同名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同名页面的 frame 中展示。 ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。 测.
关于spring security上使用ifame时候禁止
qq_35869492的博客
04-14 573
Refused to display 'http://localhost:8080/hello' in a frame because it set 'X-Frame-Options' to 'deny'.把这个问题也贴成文字方便搜索。最近闲的无聊,公司项目也完成了,因此有空了捡起放下已久的java,看了一下spring boot 和spring security,学习一下。用这两个和easyui...
X-Frame-Options响应头防点击劫持
道阻且长,行则将至
02-21 8401
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 未配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
HTTP协议 - X-frame-options
frag0910的专栏
06-28 2302
防止某些重要网页被其他网站框架(iframe)导入,可以给页面增加X-Frame-Options响应头,这样浏览器会依据X-Frame-Options的值来控制iframe框架的页面是否允许加载显示出来。 修改web服务器配置,添加X-frame-options响应头。赋值有如下三种: (1)DENY:不能被嵌入到任何iframeframe中。 (2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。 (3)ALLOW-FROM uri:只能被嵌入到指定名的框架中。 如果不
iframe嵌套页面 拒绝访问 X-Frame-Options配置
天生欧皇张狗蛋
04-19 3827
deny 表示该页面不允许在 frame 中展示,即便是在相同名的页面中嵌套也不允许。sameorigin 表示该页面可以在相同名页面的 frame 中展示。allow-from uri 表示该页面可以在指定来源的 frame 中展示。
springsecurity中处理框架页
jackyrongvip的专栏
02-18 433
X-Frame-Options 响应头 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;, &lt;/iframe&gt; 或者 &lt;object&gt; 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 使用 X-Frame-Option...
Web安全漏洞 X-Frame-Options
慢谈人生
11-26 2631
<system.webServer> <!-- Web安全漏洞: 网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去, 也从而避免了点击劫持 (clickjacking) 的攻击。 1.X-Frame-Options 响应头有三个可选的值: DENY:页面不能被嵌入到任何iframeframe中; SAMEORIGIN:页面只能被本站页面嵌入到if...
SpringSecurity学习笔记之六:保护视图
zhoucheng05_13的博客
03-05 3923
Spirng Security本身提供了一个JSP标签库,而Thymeleaf通过特定的方言实现了与Spring Security的集成。使用Spring Security的JSP标签库Spring Security的JSP标签库很小,只包含是三个标签: 为了使用JSP标签库,需要在JSP中声明它:<%@ taglib prefix="security" uri="http://www.sprin
The X-Frame-Options response header
rodpeng的专栏
04-01 905
From: https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options The X-Frame-Options HTTP response header can be used to indicate whether or not a browser should be allowed to render a page in
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值