come faccio a impostare l'intestazione di risposta X-Frame-Options ai valori allow-from usando spring java config?

Question

Come si imposta l'intestazione di risposta X-Frame-Options con un valore di allow-from usando spring java config?

http.headers().disable() 
    .addHeaderWriter(new XFrameOptionsHeaderWriter(
     new WhiteListedAllowFromStrategy(
     Arrays.asList("https://example1.com", "https://example2.com")))); 

in HTTP header di risposta ottengo:

X-Frame-Options: "allow-DA Nega".

Perché le mie origini non sono elencate nel valore di intestazione?

Answer 1

Stavo cercando lo stesso e non ho trovato risposta. Non importa come ho provato a configurarlo, l'intestazione era sempre errata.

mia soluzione per questo in modo da utilizzare la delega intestazione scrittore dal framework Spring doc

Grazie a che ho costruito una logica di impostare sempre SAMEORIGIN escluso qualche whitelist:

new DelegatingRequestMatcherHeaderWriter(
      new NegatedRequestMatcher(
        new OrRequestMatcher(
          whiteLists 
        ) 
      ), 
      new XFrameOptionsHeaderWriter(XFrameOptionsMode.SAMEORIGIN); 

logica dietro questo: se qualsiasi da corrispondenze nella lista bianca, quindi non aggiungere intestazione, altrimenti aggiungere l'intestazione con il valore SAMEORIGIN.

Penso che valga la pena di considerare perché AFAIK non tutti i browser supportano ALLOW-FROM.

Answer 2

Ho finito per farlo.

http.headers().frameOptions().disable().addHeaderWriter(new StaticHeadersWriter("X-FRAME-OPTIONS", "ALLOW-FROM example1.com"));