X-Frame-Options

ivanov.ida · 28.Август.2023 15:49:53

Добрый день!
Подскажите, пожалуйста, есть ли возможность для страницы jmix в заголовок добавить X-Frame-Options и, с помощью регулярного выражения, указать исключения для доменов ?

d.kremnev · 04.Сентябрь.2023 10:46:09

Добрый день, Денис

Jmix приложение не накладывает никакие ограничения для использования этого заголовка, ровно как и Vaadin Framework.

Как отмечено в JavaDoc XFrameOptionsHeaderWriter:

        ALLOW-FROM is an obsolete directive that no longer works in modern browsers.
        Instead use Content-Security-Policy with the frame-ancestors directive
		@Deprecated
		ALLOW_FROM("ALLOW-FROM");

Поэтому - использование x-frame-options не рекомендуется.
Вместо этого следует использовать новый заголовок и директиву: Content Security Policy и frame-ancestors.

Самый простой способ это сделать - переопределить конфигурацию безопасности в главном классе приложения (или в классе конфигурации):

Показать код

    @EnableWebSecurity
    public static class DefaultFlowuiSecurityConfiguration extends FlowuiSecurityConfiguration {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            super.configure(http);

            http.headers(headers ->
                    headers.contentSecurityPolicy(secPolicy ->
                            secPolicy.policyDirectives("frame-ancestors *укажите разрешенные хосты здесь через пробел*")
                    )
            );
        }
    }

С уважением,
Дмитрий