大家好，欢迎来到IT知识分享网。

背景

SpringBoot提供了一个页面，嵌入到前端的iframe页面中，打开才菜单后浏览器的控制台报错，如下：

frame because it set ‘X-Frame-Options’ to ‘deny’.

页面嵌入iframe：

VUE，嵌入iframe，实现iframe的100%高度和宽度

HTTP响应头X-Frame-Options：

1、取值：DENY，页面不能被嵌入到任何iframe或者frame中。

2、取值：SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中。

3、取值：ALLOW-FROM uri：页面只能被嵌入到指定域名的框架中。

X-Frame-Options的安全问题：

点击劫持（ClickJacking），一种视觉上的欺骗手段，攻击者使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面，通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

HTTP响应头信息中的X-Frame-Options，可以指示浏览器是否应该加载一个iframe中的页面，如果服务器响应头信息中没有X-Frame-Options，则该网站存在ClickJacking攻击风险。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。

SpringSecurity配置允许嵌入iframe

配置类：

public class SpringSecurityConfig extends WebSecurityConfigurerAdapter

配置方法：

protected void configure(HttpSecurity http) throws Exception

配置代码：

// 关闭 http.headers().frameOptions().disable();