1
私はSpring Securityヘッダーを有効にしました。デフォルトでX-FRAME-OPTIONSはDENYです。しかし、いくつかの回答についてはX-FRAME-OPTIONSをSAMEORIGINとする必要があります。リクエストマッチャーを追加しようとしました。しかし、それは両方ともX-Frame-Options(DENY,SAMEORIGIN)として追加されます。どのようにリクエストマッチャーのデフォルトの1つ(DENY)を避けるのですか?SpringセキュリティヘッダーのいくつかのページにX-FRAME-OPTIONSを追加する方法(Springバージョン4.2.0)?
私のコードは次のようである:
<security:headers disabled="false">
<security:header ref="xFrameOptionsHeaderWriter"/>
<security:content-security-policy policy-directives="script-src 'self' 'unsafe-inline' 'unsafe-eval'" />
<security:cache-control disabled="true"/>
</security:headers>
<bean id="xFrameOptionsHeaderWriter" class="org.springframework.security.web.header.writers.DelegatingRequestMatcherHeaderWriter">
<constructor-arg>
<bean class="org.springframework.security.web.util.matcher.NegatedRequestMatcher">
<constructor-arg>
<bean class="org.springframework.security.web.util.matcher.OrRequestMatcher">
<constructor-arg>
<list>
<bean class="org.springframework.security.web.util.matcher.AntPathRequestMatcher">
<constructor-arg value="/**/flows/javax.faces.resource/dynamiccontent.properties/**" />
</bean>
</list>
</constructor-arg>
</bean>
</constructor-arg>
</bean>
</constructor-arg>
<constructor-arg>
<bean class="org.springframework.security.web.header.writers.frameoptions.XFrameOptionsHeaderWriter">
<constructor-arg value="SAMEORIGIN"/>
</bean>
</constructor-arg>
</bean>