Spring安全中的X-Frame DENY
我在我的spring项目中使用jquery download plugin,但浏览器给出了以下错误:
Refused to display 'http://localhost:8086/DART/fleetAndCar/download/5' in a frame because it set 'X-Frame-Options' to 'DENY'.
我读到的是弹簧安全性方面的Xframe问题所以我添加了
http
.headers()
.addHeaderWriter(new XFrameOptionsHeaderWriter(XFrameOptionsHeaderWriter.XFrameOptionsMode.SAMEORIGIN))
但是它不会改变DENY但是甚至添加SAMEORIGIN所以我有他跟随错误:
Multiple 'X-Frame-Options' headers with conflicting values ('DENY, SAMEORIGIN') encountered when loading 'http://localhost:8086/DART/fleetAndCar/download/5'. Falling back to 'DENY'.
这是http请求:
这是我的春季配置:
@Configuration
@Order(1)
public static class ApiWebSecurityConfig extends WebSecurityConfigurerAdapter{
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.antMatcher("/client/**")
.authorizeRequests()
//Exclude send file from authentication because it doesn't work with spring authentication
.antMatchers(HttpMethod.POST, "/client/file").permitAll()
.anyRequest().authenticated()
.and()
.httpBasic();
}
}
@Configuration
@Order(2)
public static class FormWebSecurityConfig extends WebSecurityConfigurerAdapter{
@Autowired
RoleServices roleServices;
@Override
public void configure(WebSecurity web) throws Exception {
web
//Spring Security ignores request to static resources such as CSS or JS files.
.ignoring()
.antMatchers("/static/**");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
List<Role> roles=roleServices.getRoles();
//Retrieve array of roles(only string field without id)
String[] rolesArray = new String[roles.size()];
int i=0;
for (Role role:roles){
rolesArray[i++] = role.getRole();
}
http
.headers()
.addHeaderWriter(new XFrameOptionsHeaderWriter(XFrameOptionsHeaderWriter.XFrameOptionsMode.SAMEORIGIN))
.and()
.authorizeRequests() //Authorize Request Configuration
.anyRequest().hasAnyRole(rolesArray)//.authenticated()
.and() //Login Form configuration for all others
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.exceptionHandling().accessDeniedPage("/403")
.and()
.logout()
.logoutSuccessUrl("/login?logout")
.permitAll();
}
}
如何解决此问题?谢谢(尽管出现错误,下载工作正常)
2 个答案:
答案 0 :(得分:1)
您可以在您的spring安全配置文件中执行以下操作:
<http>
<headers>
<frame-options policy="SAMEORIGIN"/>
</headers>
</http>
您还可以通过以下方式使用Java配置进行操作:
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.headers().frameOptions().sameOrigin();
}
}
对于较早的春季版本,请使用:
http
.headers()
.addHeaderWriter(new XFrameOptionsHeaderWriter(XFrameOptionsHeaderWriter.XFrameOptionsMode.SAMEORIGIN))
代替:
http.headers().frameOptions().sameOrigin();
最后,这些是可用的选项:
拒绝::不允许任何域在框架中显示此页面。
SAMEORIGIN::允许将当前页面显示在另一页的框架中,但只能显示在当前域中。
ALLOW-FROM::允许当前页面显示在框架中,但只能显示在特定的URI中。例如www.example.com/frame-page
答案 1 :(得分:0)
试
http
.headers()
.frameOptions()
.sameOrigin();
相关问题
- X-Frame-Options拒绝?
- Facebook Canvas / X-Frame-Option中的Web应用程序拒绝案例
- spring security deny access
- Spring安全中的X-Frame DENY
- 客户端Facebook Canvas / X-Frame-Options Deny的顶级重定向
- Devtool拒绝在一个框架中显示“My uri”,因为它将'X-Frame-Options'设置为'DENY'
- Spring Security X-frame DENY
- X-Frame选项设为“DENY DENY”
- Spring Security X-frame DENY H2控制台
- 拒绝授权用户访问
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?