想象一下,你有一个spring boot应用程序,你只想创建一个可以作为iFrame嵌入的页面。所有其他页面仍应具有默认的x-frame-options: deny
标头。
@CrossOrigin
注释,但是标题的通用)httpServletResponse
更改标题,但似乎安全标题后来被覆盖http.antmatcher("/controller").frameOptions().disable()
但这打破了我的其余身份验证 - 我想念一个.allow(domain)
方法我知道我可以创建一些过滤器代码,但我希望有一个更简单的解决方案。
有任何想法吗?
要仅为特定控制器允许iframe选项而不允许所有网站使用iframe选项,这是我的方法:
@RequestMapping("/someiframepath")
public String iframe(HttpServletResponse response, Model model) {
response.setHeader("X-Frame-Options", "");
.... DO SOMETHING ....
return "your view";
}
希望能帮助到你!