Разрешить Iframe для всех доменов при использовании Spring Security

Question

Разрешить Iframe для всех доменов при использовании Spring Security

Я использую Spring Security. По умолчанию он не позволяет загружать страницу в iframe.

Заголовок Spring Security установлен X-Frame-Options значение 'DENY', Я не хочу, чтобы этот заголовок был включен в мое приложение.

Вот мой файл конфигурации.

package com.some.package.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import com.some.package.crm.enums.Role;
import com.some.package.security.AuthSuccessHandler;
import com.some.package.security.AuthenticationProvider;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private AuthenticationProvider authenticationProvider;

    @Autowired
    private AuthSuccessHandler authSuccessHandler;

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider);

    }
    @Bean
    public PasswordEncoder getPasswordEncoder(){
        PasswordEncoder encoder = new BCryptPasswordEncoder();
        return encoder;
    }

    @Override
    public void configure(WebSecurity webSecurity) throws Exception
    {
        webSecurity
            .ignoring()
                // All of Spring Security will ignore the requests
                .antMatchers("/resources/**", "/","/site/**","/affLinkCount", "/forgotPassword","/thirdPartyLogin", "/resetPassword", "/notifyCallbackToRecurring");

    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /*
         * Security Headers added by default
         *      Cache Control
         *      Content Type Options
         *      HTTP Strict Transport Security
         *      X-Frame-Options
         *      X-XSS-Protection 
         *  csrf added by default
         */

      http
        .authorizeRequests()
             .antMatchers("/crm/**").hasRole(Role.CUSTOMER.name())
             .antMatchers("/analyst/**").hasRole(Role.ANALYST.name())

             .anyRequest().authenticated() 

        .and()
        .formLogin()
             .loginPage("/login")
             .failureUrl("/login?failed=true")
             .successHandler(authSuccessHandler)
             .usernameParameter("username")
             .passwordParameter("password").loginProcessingUrl("/j_spring_security_check")
             .permitAll()
        .and()
             .sessionManagement().sessionFixation().newSession()
             .sessionAuthenticationErrorUrl("/login")
             .invalidSessionUrl("/login")
             .maximumSessions(1)
             .expiredUrl("/login").and()

        .and()
             .exceptionHandling().accessDeniedPage("/login")
        .and()
             .logout()
             .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
             .logoutSuccessUrl("/login")
             .permitAll();
       // .and().headers().frameOptions().disable();
       // addFilterAfter(new IFrameEnableFilter(), HeaderWriterFilter.class);
            //.headers().frameOptions().addHeaderWriter(new XFrameOptionsHeaderWriter(new WhiteListedAllowFromStrategy(Arrays.asList("localhost"))));
        //  .headers().addHeaderWriter(new XFrameOptionsHeaderWriter(new WhiteListedAllowFromStrategy(Arrays.asList("localhost"))));




    }

}

5

spring spring-mvc iframe spring-security x-frame-options

Источник

user2894179 04 дек '15 в 10:08

1 ответ

Другие вопросы по тегам spring spring-mvc iframe spring-security x-frame-options

user618087 04 дек '15 в 15:16 2015-12-04 15:16 · Answer 1 · 2015-12-04 15:16

Если вы используете Spring Security 4, то вы можете сделать это с помощью чего-то вроде:

http
    .headers()
        .frameOptions().disable()
        .and()
    // ...

Вы можете найти дополнительные подробности в справочнике 4.0.x.

В Spring Security 3.2.x все немного по-другому, если вы хотите продолжить использовать другие заголовки HTTP. Вам нужно сделать что-то вроде этого:

http
    .headers()
        .contentTypeOptions();
        .xssProtection()
        .cacheControl()
        .httpStrictTransportSecurity()
        .frameOptions()
        .and()
    // ...

Дополнительные подробности можно найти в справочнике 3.2.x.

user1085360 09 июл '20 в 13:28 2020-07-09 13:28 · Answer 2 · 2020-07-09 13:28

Спасибо @Rob Winch за ваш ответ, который побудил меня найти простое решение из того же источника, где я мог бы отключить его в файле конфигурации xml, как показано ниже:

<security:frame-options disabled="true"/>

Я просто поделился этим, поскольку он может использоваться другими, чтобы не вносить изменения в код, поэтому для него требуются только обновления конфигурации.