Par défaut, il X-Frame-Options
est défini sur refusé pour éviter les attaques de détournement de clic . Pour remplacer cela, vous pouvez ajouter ce qui suit dans votre configuration de sécurité de printemps
<http>
<headers>
<frame-options policy="SAMEORIGIN"/>
</headers>
</http>
Voici les options disponibles pour la politique
- DENY - est une valeur par défaut. Avec cela, la page ne peut pas être affichée dans un cadre, quel que soit le site qui tente de le faire.
- SAMEORIGIN - Je suppose que c'est ce que vous recherchez, de sorte que la page soit (et puisse être) affichée dans un cadre sur la même origine que la page elle-même
- ALLOW-FROM - Vous permet de spécifier une origine, où la page peut être affichée dans un cadre.
Pour plus d'informations, jetez un œil ici .
Et ici pour vérifier comment vous pouvez configurer les en-têtes à l'aide de configurations XML ou Java.
Notez que vous devrez peut-être également spécifier les informations appropriées strategy
, en fonction des besoins.