假设您有一个spring boot应用程序,而您只想创建一个可以嵌入为iFrame的页面。所有其他页面仍应具有默认的x-frame-options: deny标头。
@CrossOrigin的注释,但对于标头却通用)httpServletResponse更改标头,但此后安全标头似乎被覆盖http.antmatcher("/controller").frameOptions().disable(),但这会中断其余的身份验证-并且我错过了.allow(domain)方法我知道我可以创建一些过滤器代码,但我希望有一个更简单的解决方案。
有什么想法吗?
答案 0 :(得分:1)
要仅允许特定控制器使用iframe选项,而不允许所有网站使用iframe选项,这是我的方法:
@RequestMapping("/someiframepath")
public String iframe(HttpServletResponse response, Model model) {
response.setHeader("X-Frame-Options", "");
.... DO SOMETHING ....
return "your view";
}
希望有帮助!