Wie setze ich X-Frame-Optionen Response-Header zu erlauben-from Wert (e) mit Spring Java Config?

Wie setze ich X-Frame-Optionen Response Header mit einem Wert von allow-from mit Spring Java Config?Wie setze ich X-Frame-Optionen Response-Header zu erlauben-from Wert (e) mit Spring Java Config?

http.headers().disable() 
    .addHeaderWriter(new XFrameOptionsHeaderWriter(
     new WhiteListedAllowFromStrategy(
     Arrays.asList("https://example1.com", "https://example2.com"))));

In HTTP-Response-Header erhalte ich:

X-Frame-Options: "Allow-FROM DENY".

Warum sind meine Ursprünge nicht im Header-Wert aufgeführt?

Quelle

2015-10-01 Kamal Joshi

Ich war auf der Suche nach dem gleichen und habe keine Antwort gefunden. Egal wie ich es konfiguriert habe, Header war immer falsch.

für mein Problem zu umgehen, dass sie aus dem Spring-Framework doc

Dank, dass ich eine Logik delegieren Header Schriftsteller verwenden gebaut immer SAMEORIGIN ohne einige weiße Liste gesetzt:

new DelegatingRequestMatcherHeaderWriter(
      new NegatedRequestMatcher(
        new OrRequestMatcher(
          whiteLists 
        ) 
      ), 
      new XFrameOptionsHeaderWriter(XFrameOptionsMode.SAMEORIGIN);

Logik dahinter: wenn Irgendwelche aus Whitelist-Übereinstimmungen, dann fügen Sie keinen Header hinzu, andernfalls fügen Sie Header mit SAMEORIGIN-Wert hinzu.

Ich denke, es lohnt sich zu berücksichtigen, weil AFAIK nicht alle Browser ALLOW-FROM unterstützen.

Quelle

2015-10-09 13:02:58

Ich endete damit.

http.headers().frameOptions().disable().addHeaderWriter(new StaticHeadersWriter("X-FRAME-OPTIONS", "ALLOW-FROM example1.com"));

Quelle

2015-10-12 14:52:53

mit Frühlings-Sicherheit 4.1 können wir wie so tun, http.headers(). FrameOptions(). Deaktivieren() \t \t \t \t .addHeaderWriter ( \t \t \t \t \t \t neue XFrameOptionsHeaderWriter (neu StaticAllowFromStrategy (URI.create ("https://www.example.com")))); –

Wie setze ich X-Frame-Optionen Response-Header zu erlauben-from Wert (e) mit Spring Java Config?

Antwort

Verwandte Themen