Java,SpringBoot页面不能嵌入iframe,SpringSecurity配置可嵌入

Java,SpringBoot页面不能嵌入iframe,SpringSecurity配置可嵌入背景SpringBoot提供了一个页面,嵌入到前端的iframe页面中,打开才菜单后浏览器的控制台报错,如下:frame because it set ‘X-Frame-Options’ to ‘deny’.

大家好,欢迎来到IT知识分享网。

背景

SpringBoot提供了一个页面,嵌入到前端的iframe页面中,打开才菜单后浏览器的控制台报错,如下:

frame because it set ‘X-Frame-Options’ to ‘deny’.

页面嵌入iframe:

VUE,嵌入iframe,实现iframe的100%高度和宽度

HTTP响应头X-Frame-Options:

1、取值:DENY,页面不能被嵌入到任何iframe或者frame中。

2、取值:SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。

3、取值:ALLOW-FROM uri:页面只能被嵌入到指定域名的框架中。

X-Frame-Options的安全问题:

点击劫持(ClickJacking),一种视觉上的欺骗手段,攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面,通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的页面,如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置X-Frame-Options阻止站点内的页面被其他页面嵌入从而防止点击劫持。

SpringSecurity配置允许嵌入iframe

配置类:

public class SpringSecurityConfig extends WebSecurityConfigurerAdapter

配置方法:

protected void configure(HttpSecurity http) throws Exception

配置代码:

// 关闭 http.headers().frameOptions().disable();

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/87146.html

(0)
上一篇 2024-10-07 06:44
下一篇 2024-10-07 21:26

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信