美文网首页互联网科技Java工作生活
解决SpringSecurity限制iframe引用页面的问题

解决SpringSecurity限制iframe引用页面的问题

作者: 问题_解决_分享_讨论_最优 | 来源:发表于2019-11-09 15:42 被阅读0次

    使用Spring Security的过程中,需要使用iframe来引入其他域的页面,页面会报X-Frame-Options的错误,试了好几种方法一直未能很好的解决这个问题。

    这里涉及到Spring Security的一个配置,Spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:

    DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGIN:frame页面的地址只能为同源域名下的页面ALLOW-FROM:origin为允许frame加载的页面地址。

    <!-- 解决iframe无法引入页面问题 。若为ALLOW-FROM模式,必须配置strategy属性和value属性。否则项目启动报错。value属性应该就是需要被外部iframe引用的页面。

    --><security:http auto-config="true" use-expressions="true"><security:headers><security:frame-options policy="ALLOW-FROM" strategy="static" value="/chart.html**"/></security:headers></security:http>

    同源的解决办法:

    <security:http auto-config="true" use-expressions="true"><security:headers><security:frame-options policy="SAMEORIGIN"/></security:headers></security:http>

    最终,使用如下方式解决了该问题:

    <security:http auto-config="true" use-expressions="true"><security:headers><security:frame-options disabled="true"/></security:headers></security:http>

     打个广告,本人博客地址是:风吟个人博客

    相关文章

      网友评论

        本文标题:解决SpringSecurity限制iframe引用页面的问题

        本文链接:https://www.haomeiwen.com/subject/ssobbctx.html