स्प्रिंग सुरक्षा में 'X- फ्रेम-ऑप्शंस' रिस्पांस हेडर को कैसे निष्क्रिय करें?

Question 1

मेरे पास मेरी jsp पर CKeditor है और जब भी मैं कुछ अपलोड करता हूं, तो निम्न त्रुटि सामने आती है:

 Refused to display 'http://localhost:8080/xxx/xxx/upload-image?CKEditor=text&CKEditorFuncNum=1&langCode=ru' in a frame because it set 'X-Frame-Options' to 'DENY'.

मैंने स्प्रिंग सिक्योरिटी को हटाने की कोशिश की है और सब कुछ एक आकर्षण की तरह काम करता है। मैं इसे वसंत सुरक्षा xml फ़ाइल में कैसे अक्षम कर सकता हूं? मुझे <http>टैग के बीच क्या लिखना चाहिए

Question 2

डिफ़ॉल्ट रूप X-Frame-Optionsसे, क्लिकजैकिंग हमलों को रोकने के लिए, अस्वीकार करने के लिए सेट किया गया है । इसे ओवरराइड करने के लिए, आप अपने स्प्रिंग सुरक्षा कॉन्फिगर में निम्नलिखित जोड़ सकते हैं

<http>    
    <headers>
        <frame-options policy="SAMEORIGIN"/>
    </headers>
</http>

यहां पॉलिसी के विकल्प उपलब्ध हैं

DENY - एक डिफ़ॉल्ट मान है। इसके साथ पृष्ठ को फ़्रेम में प्रदर्शित नहीं किया जा सकता है, भले ही ऐसा करने का प्रयास करने वाली साइट हो।
SAMEORIGIN - मुझे लगता है कि यह वही है जो आप खोज रहे हैं, ताकि पृष्ठ उसी पृष्ठ पर उसी फ्रेम में प्रदर्शित हो सके (और हो सके)
ALLOW-FROM - आपको एक मूल निर्दिष्ट करने की अनुमति देता है, जहां पृष्ठ को एक फ्रेम में प्रदर्शित किया जा सकता है।

अधिक जानकारी के लिए यहां देखें ।

और यहां यह जांचने के लिए कि आप XML या जावा कॉन्फ़िगरेशन का उपयोग करके हेडर को कैसे कॉन्फ़िगर कर सकते हैं।

ध्यान दें, आपको आवश्यकताओं के strategyआधार पर उपयुक्त निर्दिष्ट करने की भी आवश्यकता हो सकती है ।

Question 3

यदि आप XML कॉन्फ़िगरेशन के बजाय जावा कॉन्फिगर का उपयोग कर रहे हैं, तो इसे अपनी WebSecurityConfigurerAdapter.configure(HttpSecurity http)विधि में रखें:

http.headers().frameOptions().disable();

Question 4

सबसे अधिक संभावना है कि आप इस हैडर को पूरी तरह से निष्क्रिय नहीं करना चाहते, लेकिन उपयोग करें SAMEORIGIN। यदि आप जावा कन्फिग्स ( Spring Boot) का उपयोग कर रहे हैं और एक्स-फ्रेम-ऑप्शंस को अनुमति देना चाहते हैं: SAMEORIGINतो आपको निम्नलिखित का उपयोग करने की आवश्यकता होगी।

पुराने स्प्रिंग सुरक्षा संस्करणों के लिए:

http
   .headers()
       .addHeaderWriter(new XFrameOptionsHeaderWriter(XFrameOptionsHeaderWriter.XFrameOptionsMode.SAMEORIGIN))

वसंत सुरक्षा 4.0.2 जैसे नए संस्करणों के लिए :

http
   .headers()
      .frameOptions()
         .sameOrigin();

Question 5

यदि XML कॉन्फ़िगरेशन का उपयोग कर आप उपयोग कर सकते हैं

<beans xmlns="http://www.springframework.org/schema/beans" 
       xmlns:security="http://www.springframework.org/schema/security"> 
<security:http>
    <security:headers>
         <security:frame-options disabled="true"></security:frame-options>
    </security:headers>
</security:http>
</beans>

Question 6

यदि आप स्प्रिंग सुरक्षा के जावा कॉन्फ़िगरेशन का उपयोग कर रहे हैं, तो डिफ़ॉल्ट रूप से सभी डिफ़ॉल्ट सुरक्षा हेडर जोड़े जाते हैं। नीचे जावा कॉन्फ़िगरेशन का उपयोग करके उन्हें अक्षम किया जा सकता है:

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends
   WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
      .headers().disable()
      ...;
  }
}

Question 7

यदि आप स्प्रिंग बूट का उपयोग कर रहे हैं, तो स्प्रिंग सुरक्षा डिफ़ॉल्ट हेडर को अक्षम करने का सबसे सरल तरीका security.headers.*गुणों का उपयोग करना है। विशेष रूप से, यदि आप X-Frame-Optionsडिफ़ॉल्ट शीर्ष लेख को निष्क्रिय करना चाहते हैं, तो बस निम्नलिखित को अपने साथ जोड़ें application.properties:

security.headers.frame=false

वहाँ भी है security.headers.cache, security.headers.content-type, security.headers.hstsऔर security.headers.xssगुण है कि आप उपयोग कर सकते हैं। अधिक जानकारी के लिए, एक नज़र डालें SecurityProperties।