拒绝了我们的连接请求

背景

在接入内容平台的时候, 内容平台使用iframe来嵌入ugc的帖子详情页, 让用户可以预览帖子详情。 但是帖子详情页不支持iframe的嵌入, 导致出现如下错误: ”star.aliexpress.com 拒绝了我们的连接请求。“ 具体如下:

image.png

 

原因

这是因为帖子详情页不支持iframe嵌入, 这个主要是因为spring boot默认为了安全, 默认不让网页支持嵌入, 帮助用户对抗点击劫持。

image.png

 

解决办法

X-Frame-Options 有三个值:
DENY
表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN
表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri
表示该页面可以在指定来源的 frame 中展示。

spring boot支持EnableWebSecurity 这个anotation来设置不全的安全策略。 具体如下:

import com.alibaba.spring.websecurity.DefaultWebSecurityConfigurer;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.header.writers.frameoptions.WhiteListedAllowFromStrategy;
import org.springframework.security.web.header.writers.frameoptions.XFrameOptionsHeaderWriter;import java.util.Arrays;@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends DefaultWebSecurityConfigurer {@Overrideprotected void configure(HttpSecurity http) throws Exception {super.configure(http);//disable 默认策略。 这一句不能省。 http.headers().frameOptions().disable();//新增新的策略。 http.headers().addHeaderWriter(new XFrameOptionsHeaderWriter(new WhiteListedAllowFromStrategy(Arrays.asList("http://itaobops.aliexpress.com", "https://cpp.alibaba-inc.com","https://pre-cpp.alibaba-inc.com"))));}
}

上面是支持ALLOW-FROM uri的设置方式。

其他设置方式比较简单。 下面是支持SAMEORIGIN的设置方式:

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends DefaultWebSecurityConfigurer {@Overrideprotected void configure(HttpSecurity http) throws Exception {super.configure(http);http.headers().frameOptions().sameOrigin();}
}

下面是支持完全放开的方式:


@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends DefaultWebSecurityConfigurer {@Overrideprotected void configure(HttpSecurity http) throws Exception {super.configure(http);http.headers().frameOptions().disable();}
}

 

1人点赞

 

其他

 



作者:YDDMAX_Y
链接:https://www.jianshu.com/p/9ec724f4e3ae
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/29322.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

www.youtube.com拒绝了我们的连接请求

项目场景: 页面嵌入youtube视频,如:官网、买量页、落地页、活动页...... 问题描述 嵌入youtube视频,页面显示www.youtube.com拒绝了我们的连接请求。如图: 原因分析: 提示:这里填写问题的分析…

chatgpt赋能python:知破SEO的窍门:用Python3在Windows7上实现有效的SEO技巧

知破SEO的窍门:用Python3在Windows7上实现有效的SEO技巧 对于任何一个拥有自己的网站或是数字营销公司来说,搜索引擎优化(SEO)是一个重要的研究方向。而在这个搜索引擎优化领域,Python3在Windows7操作系统上的应用尤其…

【饭谈】GPT下的测试圈新职业:魔法吟唱者

先赞后看,是好习惯哦~ 你可曾想过这样的一个场景: 你是负责写用例的测试工程师,面对着产品经理的长篇大论般的需求,你却淡定的打开电脑,点开excel表格。 然后对着一个话筒,开始说下面的话: 你…

录音哪些音乐编曲软件简单易用

无论制作什么类型的音乐,编曲软件的录制功能都是非常重要的。那么对于许多新人,录音时到底哪些音乐编曲软件简单易用呢? 下面,小编将分别演示Studio one5和Cubase是怎样录音的,又有哪些技巧,简单对比这两款…

地推话术 地推活动策划方案 活动策划方案案例 分享经济活动策划方案

推荐下载,获取路径: 点击这里直接下载 阳光正浓,完全不似清早阴冷、沉闷的预示。我在想,要怎样描述现下坐在此处的感觉;或而有幸,十几百年后,某一静坐读书之人,也在这样一个午后,忽…

淘宝广告投放效果分析

一、分析目的: 在大数据时代的背景下,广告主可从购买媒介变成直接购买用户。广告的精准投放对广告主、服务平台与潜在用户而言,在提升效率与商业效益方面,有了更迫切的需求。然而网络广告形式多样,很多广告投放系统率…

前端Q线上年会活动邀请函(文中送现金红包等大量福利)

简单自我介绍 前端Q的号主是winty,多年前端经验,软件工程专业,是个懂前端、会理财的美女小姐姐。 工作方面,现就职腾讯微信,曾就职京东、虾皮等大厂。接触过的东西很广泛,主导过服务端框架设计,…

Github每日精选(第100期): 从超过 50 亿的自然语言中获得洞察力ossinsight

介绍 OSS Insight 是一个强大的工具,通过分析超过 5 亿行的 GitHub 事件数据,提供对开源世界的全面、有价值和趋势洞察。 OSS Insight 的Data Explorer提供了一种探索 GitHub 数据的新方法。只需用自然语言提出您的问题,Data Explorer 就会…

垃圾分类模型想上maixpy

maixpy笔记 Something 上下拉。应该就是强制高、低电平,可以避免不确定的状态。模型区没有文件系统,模型之间烧录在指定地址。文件系统可以有效帮助我们管理存储介质,例如磨损均衡。理论上只要单层使用内存不超过 2MB, 整体模型…

大二寒假生活与学习草记

文章目录 学习日志——第一周前言这周干了点啥?周一周二周三周四周五周六周日 本周小结附录练字跑步 学习日志——第二周这周干了点啥?周一周二周三周四周五周六周日 本周小结 学习日志——第三周这周干了点啥?周一周二周三 学习日志——第一…

FPGA基础知识一

目录 1.时序约束 冒险和竞争 建立时间/保持时间 2. 异步复位,同步释放 3. AXI总线 4. 低功耗问题(优化资源利用率) 5. 状态机和流水线 1.时序约束 主要参考此文章:时序约束 引脚约束 在课题中,出现mmc5983的…

【AMBA】ARM总线-APB/AHB/AXI介绍

​1.总线简介 什么是总线?首先,在学习AMBA总线之前,我们先对总线下一个定义。根据维基百科的定义:总线(Bus)是指计算机组件间规范化的交换数据(data)的方式,即以一种通用…

【自然语言处理】【大模型】GLM-130B:一个开源双语预训练语言模型

GLM-130B:一个开源双语预训练语言模型 《GLM-130B: An open bilingual pre-trained model》 论文:https://arxiv.org/pdf/2210.02414.pdf 相关博客 【自然语言处理】【大模型】ChatGLM-6B模型结构代码解析(单机版) 【自然语言处理】【大模型】LaMDA&…

ChatGLM-6B一键安装,马上使用(windows)!!

产品特点 双语: 同时支持中文和英文。 高精度(英文): 在公开的英文自然语言榜单 LAMBADA、MMLU 和 Big-bench-lite 上优于 GPT-3 175B(API: davinci,基座模型)、OPT-175B 和 BLOOM-176B。 高…

chatgpt赋能Python-python_cnocr

Python CNOCR:基于Python的OCR库 随着数字化时代的到来,越来越多的文件需要被数字化转换。这些文件包括扫描版的文档、书籍、发票等。这时OCR(Optical Character Recognition)技术就被广泛应用。OCR可以通过识别出图片中的字符&a…

Android TensorFlowLite sdk接入详细记录

前言 最近在研究ML的相关内容,开始在Android应用中接入TensorFlowLite。花了不少时间,添了不少坑,如果是裸的空项目接入还好,如果是现有的线上产品的接入,还是会有不少问题需要处理的,而且过程中&#xff0…

阿里云ECS云服务器搭建Docker,nginx 环境服务

步骤一:安装Docker CE Docker有两个分支版本:Docker CE和Docker EE,即社区版和企业版,本教程基于CentOS 7安装Docker CE 1 首先安装Docker 的依赖库 yum install -y yum-utils device-mapper-persistent-data lvm22 添加Docker C…

typora+picgo+阿里云配置

typorapicgo阿里云配置 typorapicgo阿里云配置1.typora2.picgo阿里云(1)端口配置(与typora的一样)(2)阿里云配置1.配置后阿里云:2.密钥管理:3.查看密钥:4.picgo配置阿里云5.typora测试picgo连接 1.typora 用的破解版 2.picgo阿里云 不知道为什么,刚开始用的picgo是2.2.2一直…

Vue打包部署到阿里云服务器

来自 <https://blog.csdn.net/u014225032/article/details/125283332> 来自 <https://blog.csdn.net/w20101310/article/details/78835668?ops_request_misc%257B%2522request%255Fid%2522%253A%2522168296374616800222874174%2522%252C%2522scm%2522%253A%25222014…

阿里云服务器安装并配置nginx代理转发请求

阿里云服务器安装并配置nginx代理转发请求 下载nginx安装包&#xff0c;或者上传nginx安装包&#xff0c;此处我用的是Xmanager工具从本地上传了一个nginx安装包。 安装依赖库 yum -y install gcc pcre pcre-devel zlib zlib-devel openssl openssl-devel yum -y install gcc …