allow-fromの値を持つX-Frame-Optionsレスポンスヘッダーをspring java configを使用して設定するにはどうすればよいですか? HTTP応答ヘッダでspring-java設定を使用してX-Frame-Optionsレスポンスヘッダをallow-fromの値に設定するにはどうすればよいですか?
http.headers().disable()
.addHeaderWriter(new XFrameOptionsHeaderWriter(
new WhiteListedAllowFromStrategy(
Arrays.asList("https://example1.com", "https://example2.com"))));
私が取得:
X-フレーム・オプション: "許可-FROM DENY"。
なぜ私の起源がヘッダー値に記載されていませんか?
私は同じものを探していて答えを見つけられませんでした。どのように私はそれを設定しようとしても問題ではない、ヘッダーは常に間違っていた。
それは、私はロジックは、常にいくつかのホワイトリストを除くSAMEORIGINを設定するために構築されたSpringフレームワークからそれにdoc
感謝を委任ヘッダライターを使用することのための私の回避策:その背後にある
new DelegatingRequestMatcherHeaderWriter(
new NegatedRequestMatcher(
new OrRequestMatcher(
whiteLists
)
),
new XFrameOptionsHeaderWriter(XFrameOptionsMode.SAMEORIGIN);
ロジック:もしホワイトリストのいずれかが一致した場合はヘッダーを追加しません。そうでない場合は、SAMEORIGIN値のヘッダーを追加します。
AFAIKはすべてのブラウザがALLOW-FROMをサポートしているわけではないため、検討する価値はあると思います。
私はこれをやってしまった。私たちは、http.headers()のように行うことができます春のセキュリティ4.1と
http.headers().frameOptions().disable().addHeaderWriter(new StaticHeadersWriter("X-FRAME-OPTIONS", "ALLOW-FROM example1.com"));
。frameOptions()。)(無効 \t \t \t \t .addHeaderWriter( \t \t \t \t \t \t新しいXFrameOptionsHeaderWriter(新StaticAllowFromStrategy( URI.create( "https://www.example.com"))))); –