x-frame选项spring boot

7uhlpewt  于 2021-07-05  发布在  Java
关注(0)|答案(1)|浏览(793)

因此,我尝试在我的spring引导应用程序上配置iframe。然而,我正在努力获得x帧选项,允许从。下面是我的html和spring安全文件的内容。
html iframe:

<div class="gridItem8">
<iframe src="https://www.youtube.com/watch?v=HV2LVEPrKGs&feature=emb_title" title="Halo Video"></iframe>

安全配置:

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
        .antMatchers().authenticated()
        .antMatchers( "/", "/about", "/signup", "/signUpForm",
            "/signUpFormError", "/login", "/logOut", "/ForgotPasswordPage", "/Forgot_Password",
            "/SignUp", "/registrationComplete").permitAll()
        .antMatchers("/LoggedInUser/**").hasAnyAuthority("ADMIN", "USER", "MODERATOR")
        .anyRequest().authenticated().and().csrf().disable().formLogin()
        .loginPage("/login").failureUrl("/login?error=true")
        .defaultSuccessUrl("/LoggedInUser/success")
        .usernameParameter("email")
        .passwordParameter("password")
        .and().logout()
        .logoutRequestMatcher(new AntPathRequestMatcher("/logOut"))
        .logoutSuccessUrl("/")
        .and()
        .headers()
        .frameOptions()
        .disable()
        .addHeaderWriter(new StaticHeadersWriter("X-FRAME-OPTIONS",
                "ALLOW-FROM https://www.youtube.com/watch?v=HV2LVEPrKGs&feature=emb_title"));

任何帮助都将不胜感激。谢谢!

8aqjt8rx

8aqjt8rx1#

X-Frame-Options 是一个http响应头,由向其请求资源的服务器设置。它用于指示是否允许浏览器在 <frame> 通过确保内容未嵌入到其他网站中来避免点击劫持攻击。
请参阅mdn文档:x-frame-options。
如果youtube.com上的资源 X-Frame-OptionsDENY ,则不允许在 <frame> . 如果是的话 SAMEORIGIN ,资源只能在 <frame> 与页面本身位于同一域中。 ALLOW-FROM uri 是一个过时的指令,在现代浏览器中不再有效。
如果你想在你的网站中嵌入一个youtube视频,只需使用share功能并将html代码复制到你的网站中,它应该可以工作,下面是一个例子。

相关问题