X 框架选项 Spring 启动
X-Frame Options Spring Boot
所以我正在尝试在我的 Spring 启动应用程序上使用配置 iframe。但是,我正在努力将 X-Frame-Options 设置为 ALLOW-From。这是我的 html 和 spring 安全文件。
HTML IFrame:
<div class="gridItem8">
<iframe src="https://www.youtube.com/watch?v=HV2LVEPrKGs&feature=emb_title" title="Halo Video"></iframe>
安全配置:
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers().authenticated()
.antMatchers( "/", "/about", "/signup", "/signUpForm",
"/signUpFormError", "/login", "/logOut", "/ForgotPasswordPage", "/Forgot_Password",
"/SignUp", "/registrationComplete").permitAll()
.antMatchers("/LoggedInUser/**").hasAnyAuthority("ADMIN", "USER", "MODERATOR")
.anyRequest().authenticated().and().csrf().disable().formLogin()
.loginPage("/login").failureUrl("/login?error=true")
.defaultSuccessUrl("/LoggedInUser/success")
.usernameParameter("email")
.passwordParameter("password")
.and().logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logOut"))
.logoutSuccessUrl("/")
.and()
.headers()
.frameOptions()
.disable()
.addHeaderWriter(new StaticHeadersWriter("X-FRAME-OPTIONS",
"ALLOW-FROM https://www.youtube.com/watch?v=HV2LVEPrKGs&feature=emb_title"));
如有任何帮助,我们将不胜感激。谢谢!
X-Frame-Options 是一个 HTTP 响应 header,由您请求资源的服务器设置。它用于指示是否应允许浏览器在 <frame> 中呈现页面,以通过确保内容不嵌入其他站点来避免 click-jacking 攻击。
请参阅有关它的 MDN 文档:X-Frame-Options.
因此,如果 youtube.com 上的资源将 X-Frame-Options 设置为 DENY,则不允许该资源在 <frame> 中呈现。如果是 SAMEORIGIN,资源只能在与页面本身相同域的 <frame> 中呈现。 ALLOW-FROM uri 是一个过时的指令,在现代浏览器中不再有效。
如果您想在您的网站中嵌入 YouTube 视频,只需使用 share feature and copy the HTML code into your site, it should work, here's an example。
所以我正在尝试在我的 Spring 启动应用程序上使用配置 iframe。但是,我正在努力将 X-Frame-Options 设置为 ALLOW-From。这是我的 html 和 spring 安全文件。
HTML IFrame:
<div class="gridItem8">
<iframe src="https://www.youtube.com/watch?v=HV2LVEPrKGs&feature=emb_title" title="Halo Video"></iframe>
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers().authenticated()
.antMatchers( "/", "/about", "/signup", "/signUpForm",
"/signUpFormError", "/login", "/logOut", "/ForgotPasswordPage", "/Forgot_Password",
"/SignUp", "/registrationComplete").permitAll()
.antMatchers("/LoggedInUser/**").hasAnyAuthority("ADMIN", "USER", "MODERATOR")
.anyRequest().authenticated().and().csrf().disable().formLogin()
.loginPage("/login").failureUrl("/login?error=true")
.defaultSuccessUrl("/LoggedInUser/success")
.usernameParameter("email")
.passwordParameter("password")
.and().logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logOut"))
.logoutSuccessUrl("/")
.and()
.headers()
.frameOptions()
.disable()
.addHeaderWriter(new StaticHeadersWriter("X-FRAME-OPTIONS",
"ALLOW-FROM https://www.youtube.com/watch?v=HV2LVEPrKGs&feature=emb_title"));
如有任何帮助,我们将不胜感激。谢谢!
X-Frame-Options 是一个 HTTP 响应 header,由您请求资源的服务器设置。它用于指示是否应允许浏览器在 <frame> 中呈现页面,以通过确保内容不嵌入其他站点来避免 click-jacking 攻击。
请参阅有关它的 MDN 文档:X-Frame-Options.
因此,如果 youtube.com 上的资源将 X-Frame-Options 设置为 DENY,则不允许该资源在 <frame> 中呈现。如果是 SAMEORIGIN,资源只能在与页面本身相同域的 <frame> 中呈现。 ALLOW-FROM uri 是一个过时的指令,在现代浏览器中不再有效。
如果您想在您的网站中嵌入 YouTube 视频,只需使用 share feature and copy the HTML code into your site, it should work, here's an example。