默认情况下
X-frame-Options设置为拒绝,以防止点击劫持攻击。要覆盖它,您可以将以下内容添加到您的spring安全配置中
<http> <headers> <frame-options policy="SAMEORIGIN"/> </headers></http>
以下是政策的可用选项
- DENY- 是默认值。使用此方法,无论站点试图这样做,都无法将页面显示在框架中。
- SAMEORIGIN- 我想这就是您要寻找的,因此该页面将(可以)显示在与页面本身相同的原点中的框架中
- ALLOW-FROM- 允许您指定可在页面中显示页面的原点。
有关更多信息,请在此处查看。
而在这里检查如何使用XML或Java的CONFIGS配置的标头。
请注意,您可能还需要
strategy根据需要指定相应的。
