làm cách nào để đặt tiêu đề phản hồi X-Frame-Options cho (các) giá trị cho phép bằng cấu hình mùa xuân java?

Question

Làm cách nào để đặt tiêu đề phản hồi Tùy chọn khung hình X với giá trị cho phép từ việc sử dụng cấu hình java mùa xuân?

http.headers().disable() 
    .addHeaderWriter(new XFrameOptionsHeaderWriter(
     new WhiteListedAllowFromStrategy(
     Arrays.asList("https://example1.com", "https://example2.com")))); 

Trong tiêu đề đáp ứng Http tôi nhận được:

X-Frame-Options: "PHÉP-TỪ DENY".

Tại sao nguồn gốc của tôi không được liệt kê trong giá trị tiêu đề?

Answer 1

Tôi đang tìm kiếm tương tự và không tìm thấy câu trả lời. Không quan trọng như thế nào tôi đã cố gắng để cấu hình nó, tiêu đề luôn luôn không chính xác.

workaround tôi cho rằng nó sử dụng ủy thác nhà văn tiêu đề từ Spring framework doc

Nhờ đó tôi đã xây dựng một logic để luôn đặt SAMEORIGIN trừ một số danh sách trắng:

new DelegatingRequestMatcherHeaderWriter(
      new NegatedRequestMatcher(
        new OrRequestMatcher(
          whiteLists 
        ) 
      ), 
      new XFrameOptionsHeaderWriter(XFrameOptionsMode.SAMEORIGIN); 

logic đằng sau đó: nếu bất kỳ từ danh sách trắng phù hợp sau đó không thêm tiêu đề, nếu không thêm tiêu đề với giá trị SAMEORIGIN.

Tôi nghĩ rằng nó đáng để xem xét vì AFAIK không phải tất cả các trình duyệt đều hỗ trợ ALLOW-FROM.

Answer 2

Tôi đã kết thúc việc này.

http.headers().frameOptions().disable().addHeaderWriter(new StaticHeadersWriter("X-FRAME-OPTIONS", "ALLOW-FROM example1.com"));