问题:
当我在使用iframe来展示子页面的时候,发现总是返回,"localhost 拒绝了我们的连接请求。",并且返回结果"Failed to load response data"
问题截图如下:
我百度和Google有一部分人说是Chrome的bug,我用火狐也确实能返回东西.
火狐截图:
但是页面(head和body)还是为空
甚至有的说是跨域的问题,但显然我不是,还有的说是http中调用了https链接,但我的也不是,
最后,想了一想会不会是Spring Security将浏览器的安全策略给做了限制,查了查资料,还真有这个东西,
在Spring Security中有X-Frame-Options这个选项,它有三个配置属性:
DENY:浏览器拒绝当前页面加载任何Frame页面
SAMEORIGIN:frame页面的地址只能为同源域名下的页面
ALLOW-FROM:origin为允许frame加载的页面地址。
我们只需要把它改为SAMEORIGIN就可以正常访问了
我这里提供两个解决方案,普通web项目,可以修改web.xml
<filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <init-param> <param-name>antiClickJackingOption</param-name> <param-value>SAMEORIGIN</param-value> </init-param> <async-supported>true</async-supported> </filter> <filter-mapping> <filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
SpringBoot项目你可以在你的配置类(继承自WebSecurityConfigurerAdapter)中的configure方法把这段加上:
.and().headers().frameOptions().sameOrigin()//更改X-Frame-Options为SAMEORIGIN,会导致iframe框架不能显示内容
然后就可以愉快的玩耍了