#扩展 - 设置X-Frame-Options响应头 - 《Spring中间件》

说明
配置

被Security管理的接口中，其中可能包含html页面，而前端在开发时，可能使用frame标签。
为了系统安全性，默认情况下X-Frame-Options是禁止的。

说明

X-Frame-Options HTTP 响应报头可以被用来指示一个浏览器是否应该被允许在一个页面中呈现
，或<object><br />通过确保其内容未嵌入其他网站，网站可以使用此功能来避免点击劫持攻击</p> <table> <thead> <tr> <th><strong>HTTP响应头</strong></th> <th><strong>值</strong></th> <th><strong>说明</strong></th> </tr> </thead> <tbody> <tr> <td>X-Frame-Options</td> <td>DENY（默认）</td> <td>不管来自哪里，只要使用frame等标签，都无法显示，这里要注意，单独访问html页面是可以的</td> </tr> <tr> <td>X-Frame-Options</td> <td>SAMEORIGIN</td> <td>只要是同源，可以显示html</td> </tr> <tr> <td>X-Frame-Options</td> <td>ALLOW-FROM <a rel="nofollow" href="https://xxx.com/">https://xxx.com/</a></td> <td>只要是允许的url，可以显示html</td> </tr> </tbody> </table> <p>一般使用该配置限制iframe引用其他网站页面</p> <p><a name="cCKG0"></a></p> <h2 id="799hge"><a name="799hge" class="reference-link"></a><span class="header-link octicon octicon-link"></span>配置</h2><pre><code class="lang-java"> @Override public void configure(HttpSecurity http) throws Exception { // @formatter:off http.headers().frameOptions().sameOrigin() //.and()... more config ; // @formatter:on } </code></pre>