Ошибка одинакового начала X-frame-options в iframe из другого субдомена с использованием Spring Boot и Angular

Question

Я получаю «Отказано в отображении» во фрейме, поскольку для параметра «X-Frame-Options» установлено значение «sameorigin» » при попытке показать iframe из Spring Boot API, которыйв том же домене, что и мое приложение Angular, но в другом поддомене (например, app.domain.com, api.domain.com).

Почему он не рассматривает один и тот же домен?

Answer 1

app.domain.com, api.domain.com оба имеют один и тот же домен, но поскольку субдомен отличается, это означает, что он имеет другое происхождение, и поэтому безопасность Spring не разрешит этого по умолчанию.

Вы можете добавить собственный заголовок для решения проблемы, как показано ниже:

http
    .headers().frameOptions().disable()
    .addHeaderWriter(
        new StaticHeadersWriter("X-FRAME-OPTIONS", "ALLOW-FROM app.domain.com"));