Question

Представьте, что у вас есть приложение с весенней загрузкой, и вы хотите создать только одну страницу, которая может быть встроена в iFrame.На всех других страницах по-прежнему должен быть заголовок x-frame-options: deny по умолчанию.

Не удалось найти соответствующую аннотацию (я ожидал что-то вроде аннотации @CrossOrigin, но универсально для заголовков)
Я пытался изменить заголовки с помощью httpServletResponse, но кажется, что заголовки безопасности впоследствии перезаписывались
Я пытался использовать http.antmatcher("/controller").frameOptions().disable(), но это нарушает остальную часть моей аутентификации - и я пропускаю .allow(domain) method

Я знаю, что мог бы создать некоторый код фильтра, но я надеюсь, что есть более простое решение.

Есть идеи?

kimy82 · Answer 1 · 27 февраля 2019

Чтобы разрешить параметры iframe только для определенного контроллера и не разрешать его для всех веб-сайтов, это мой подход:

 @RequestMapping("/someiframepath")
    public String iframe(HttpServletResponse response, Model model) {
        response.setHeader("X-Frame-Options", "");
        .... DO SOMETHING ....
        return "your view";
    }

Надеюсь, это поможет!

Изменить заголовок x-frame-options для одного контроллера в Spring Boot

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Изменить заголовок x-frame-options для одного контроллера в Spring Boot

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы