আমার জেএসপিতে সিকেডিটার রয়েছে এবং যখনই আমি কিছু আপলোড করি, নীচের ত্রুটিটি পপ আউট হয়:
Refused to display 'http://localhost:8080/xxx/xxx/upload-image?CKEditor=text&CKEditorFuncNum=1&langCode=ru' in a frame because it set 'X-Frame-Options' to 'DENY'.
আমি স্প্রিং সিকিউরিটি অপসারণ করার চেষ্টা করেছি এবং সমস্ত কিছুই কবজির মতো কাজ করে। আমি কীভাবে বসন্ত সুরক্ষা এক্সএমএল ফাইল এ অক্ষম করতে পারি? <http>ট্যাগগুলির মধ্যে আমার কী লিখতে হবে
উত্তর:
ক্লিক জ্যাকিং আক্রমণগুলি X-Frame-Optionsরোধ করতে ডিফল্টরূপে অস্বীকার করা হয়েছে । এটি ওভাররাইড করতে, আপনি আপনার বসন্ত সুরক্ষা কনফিগারেশনে নিম্নলিখিতগুলি যুক্ত করতে পারেন
<http>
<headers>
<frame-options policy="SAMEORIGIN"/>
</headers>
</http>
নীতির জন্য উপলভ্য বিকল্পগুলি এখানে
আরও তথ্যের জন্য এখানে একবার দেখুন ।
আর এখানে কিভাবে আপনি হয় এক্সএমএল বা জাভা configs ব্যবহার হেডার কনফিগার করতে পারেন করো।
দ্রষ্টব্য, আপনার প্রয়োজন অনুসারে উপযুক্ত নির্দিষ্ট করার প্রয়োজনও থাকতে পারে strategy।
httpএবং headersট্যাগগুলির নাম স্থান কী?
http.headers().frameOptions().sameOrigin();
আপনি যদি এক্সএমএল কনফিগারগুলির পরিবর্তে জাভা কনফিগার ব্যবহার করছেন তবে এটি আপনার WebSecurityConfigurerAdapter.configure(HttpSecurity http)পদ্ধতিতে রাখুন:
http.headers().frameOptions().disable();
http.headers().frameOptions().sameOrigin();
সম্ভবত আপনি এই শিরোনামটি পুরোপুরি নিষ্ক্রিয় করতে চান না, তবে ব্যবহার করুন SAMEORIGIN। আপনি যদি জাভা কনফিগস ( Spring Boot) ব্যবহার করে থাকেন এবং এক্স-ফ্রেম-বিকল্পগুলির অনুমতি দিতে চান: SAMEORIGINতবে আপনাকে নিম্নলিখিতগুলি ব্যবহার করতে হবে।
পুরানো স্প্রিং সুরক্ষা সংস্করণগুলির জন্য:
http
.headers()
.addHeaderWriter(new XFrameOptionsHeaderWriter(XFrameOptionsHeaderWriter.XFrameOptionsMode.SAMEORIGIN))
স্প্রিং সিকিউরিটি 4.0.2 এর মতো নতুন সংস্করণগুলির জন্য :
http
.headers()
.frameOptions()
.sameOrigin();
এক্সএমএল কনফিগারেশন ব্যবহার করে আপনি ব্যবহার করতে পারেন
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security">
<security:http>
<security:headers>
<security:frame-options disabled="true"></security:frame-options>
</security:headers>
</security:http>
</beans>
আপনি যদি স্প্রিং সিকিউরিটির জাভা কনফিগারেশন ব্যবহার করেন তবে সমস্ত ডিফল্ট সুরক্ষা শিরোনাম ডিফল্টরূপে যুক্ত হয়। তারা নীচে জাভা কনফিগারেশন ব্যবহার করে অক্ষম করা যেতে পারে:
@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.headers().disable()
...;
}
}
আপনি যদি স্প্রিং বুট ব্যবহার করেন তবে স্প্রিং সিকিউরিটি ডিফল্ট শিরোনাম অক্ষম করার সহজ উপায় হ'ল security.headers.*বৈশিষ্ট্যগুলি ব্যবহার করা। বিশেষত, আপনি যদি X-Frame-Optionsডিফল্ট শিরোলেখ অক্ষম করতে চান তবে নিম্নলিখিতটি আপনারটিতে যুক্ত করুন application.properties:
security.headers.frame=false
রয়েছে security.headers.cache, security.headers.content-type, security.headers.hstsএবং security.headers.xssবৈশিষ্ট্য যে আপনি ব্যবহার করতে পারেন। আরও তথ্যের জন্য, একবার দেখুন SecurityProperties।