解决SpringSecurity限制iframe引用页面的问题

使用Spring Security的过程中，需要使用iframe来引入其他域的页面，页面会报X-Frame-Options的错误，试了好几种方法一直未能很好的解决这个问题。

这里涉及到Spring Security的一个配置，Spring Security下，X-Frame-Options默认为DENY,非Spring Security环境下，X-Frame-Options的默认大多也是DENY，这种情况下，浏览器拒绝当前页面加载任何Frame页面，设置含义如下：

DENY：浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN：frame页面的地址只能为同源域名下的页面
ALLOW-FROM：origin为允许frame加载的页面地址。

<!-- 解决iframe无法引入页面问题 。若为ALLOW-FROM模式，必须配置strategy属性和value属性。否则项目启动报错。value属性应该就是需要被外部iframe引用的页面。

-->
<security:http auto-config="true" use-expressions="true">
        <security:headers>
            <security:frame-options policy="ALLOW-FROM" strategy="static" value="/chart.html**"/>
        </security:headers>
</security:http>

 

同源的解决办法：

<security:http auto-config="true" use-expressions="true">
    <security:headers>
        <security:frame-options policy="SAMEORIGIN"/>
    </security:headers>
</security:http>

 

最终，使用如下方式解决了该问题：

<security:http auto-config="true" use-expressions="true">
    <security:headers>
        <security:frame-options disabled="true"/>
    </security:headers>
</security:http>