具有冲突值的" X-Frame-Options"标头(" SAMEORIGIN,DENY")。 退回到"拒绝"状态。

2020-09-27 12:26发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


我们正在使用hybris 6.3,并且遇到了此问题。

  • 根据Hybris专家网站( https://experts.hybris.com/questions/77868/use-of-hybris-commerce-in-iframe.html),我们需要检查设置更改。

  • 在属性文件中,我们设置了以下内容:xss.filter.header.X-Frame-Options = SAMEORIGIN

  • 但是,正如我们看到的那样,DENY似乎也有一个设置:拒绝显示' https://theUrl/",因为它设置了多个具有冲突值(" SAMEORIGIN,DENY")的" X-Frame-Options"标头。 退回到"拒绝"状态。

  • 我找不到在其他地方设置此值。 它不在Apache httpd.conf文件中

  • 我向我们的网络团队咨询了一下,看看他们是否确实注入了此设置,但他们表示不这样做。

在杂音中(或其他位置)设置其他DENY的任何想法

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


我们正在使用hybris 6.3,并且遇到了此问题。

  • 根据Hybris专家网站( https://experts.hybris.com/questions/77868/use-of-hybris-commerce-in-iframe.html),我们需要检查设置更改。

  • 在属性文件中,我们设置了以下内容:xss.filter.header.X-Frame-Options = SAMEORIGIN

  • 但是,正如我们看到的那样,DENY似乎也有一个设置:拒绝显示' https://theUrl/",因为它设置了多个具有冲突值(" SAMEORIGIN,DENY")的" X-Frame-Options"标头。 退回到"拒绝"状态。

  • 我找不到在其他地方设置此值。 它不在Apache httpd.conf文件中

  • 我向我们的网络团队咨询了一下,看看他们是否确实注入了此设置,但他们表示不这样做。

在杂音中(或其他位置)设置其他DENY的任何想法

付费偷看设置
发送
1条回答
哎,真难
1楼 · 2020-09-27 13:26.采纳回答

威廉你好

我正面临着完全相同的问题。 在我们的案例中,应用程序从5X更新为6X。 Hybris在6X中更新了Spring版本。

因此,此行为的原因是Spring Security中的默认值。 它使用户可以轻松注入默认的安全标头,以帮助保护其应用程序。 参见 https://docs.spring.io/ spring-security/site/docs/current/reference/html/headers.html

例如,在yacceleratorstorefront店面中,您会发现spring-security-config.xml,其中包含的两个条目。 这将禁用基于应用程序的安全设置。

不幸的是-由于现有(旧)前端的迁移-该店面中缺少该条目。 因此,默认行为是DENY。

如何解决此问题:您必须修改spring security XML(在店面项目中)并添加以下代码:

  
              
          

  

一周热门 更多>