如何在Spring Security中禁用'X-Frame-Options'响应头?
我在jsp上安装了CKeditor,并且每当我上传一些内容时,就会弹出以下错误:
Refused to display 'http://localhost:8080/xxx/xxx/upload-image?CKEditor=text&CKEditorFuncNum=1&langCode=ru' in a frame because it set 'X-Frame-Options' to 'DENY'.
我尝试过删除Spring Security,并且一切正常。如何在Spring Security xml文件中禁用此功能?<http>标签之间应该写些什么
问题答案:
默认情况下X-Frame- Options设置为拒绝,以防止点击劫持攻击。要覆盖它,您可以将以下内容添加到您的spring安全配置中
<http>
<headers>
<frame-options policy="SAMEORIGIN"/>
</headers>
</http>
以下是政策的可用选项
- DENY- 是默认值。使用此方法,无论站点试图这样做,都无法将页面显示在框架中。
- SAMEORIGIN- 我想这就是您要寻找的,因此该页面将(可以)显示在与页面本身相同的原点中的框架中
- ALLOW-FROM- 允许您指定可在页面中显示页面的原点。
有关更多信息,请在此处查看。
而在这里检查如何使用XML或Java的CONFIGS配置的标头。
请注意,您可能还需要strategy根据需要指定相应的。
-
问题内容: 我从API的响应中收到X-Frame- Options标头,但据我所知,为了防止clickjacking攻击,我需要在UI代码中添加它。UI代码(用angularjs编写)部署在Tomcat(版本7.0.72)服务器中。我尝试在应用程序的web.xml中添加以下过滤器。 但是,我看不到标题被添加。有人可以帮我找出解决方案吗? 问题答案: 我找到了解决方案。X-Frame- Option
-
所述X-Frame-OptionsHTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个以呈现页面<frame>,<iframe>或<object>。通过确保其内容未嵌入其他网站,网站可以使用此功能来避免 点击劫持 攻击。 只有当访问文档的用户使用浏览器支持时才提供附加的安全性X-Frame-Options。 Header type Response header Forbidden he
-
问题内容: 我正在写一个通过jQuery动态加载内容的网站。这样做的原因是使音频播放器保持运行状态,同时无需刷新即可浏览页面内容。 尝试使YouTube视频正常工作会遇到麻烦,它的设置是这样的。 网站内容是使用.load()加载,并为视频页面包含的链接到YouTube视频的无序列表,每一个空的的。点击链接可放大并将其嵌入视频。 一切正常,除了不会加载源,引发此错误。 **拒绝 在框架中显示“ 也试
-
问题内容: 我是Intab的作者,这是一个Chrome扩展程序,可让您查看内联链接而不是新标签。幕后没有什么花哨的事情,它只是一个iframe,可加载用户单击的URL。 除了将X-Frame-Options标头设置为DENY或SAMEORIGIN的网站外,它的工作原理非常好。一些非常大的网站(例如Google和Facebook)都使用它,这给人带来了一些混乱的体验。 有什么办法可以解决这个问题?由
-
我用空手道0.9。5.我正在测试一个返回125MB json响应的endpoint(我知道,不应该在json上这样做——但我现在还停留在这里)。我怎样才能禁止空手道解析响应json,而只是将其视为纯文本?响应需要几毫秒才能完成,但空手道只是挂起尝试解析响应。我不需要验证响应,只需检查200 OK。 谢谢
-
问题内容: 一旦用户提供了指向视频的链接,我就会尝试将youtube视频嵌入到我的页面中。 但是,当我尝试添加此错误时,出现此错误。检查Chrome中的页面后,我在控制台标签中看到此错误 “由于X-Frame-Options禁止显示而拒绝显示文档” 我不能看视频,甚至在和也 我什至尝试添加 阅读其他帖子中的某些解决方案后。 但是我仍然遇到同样的错误。 我还看到youtube具有嵌入对象的方法来显示