如下图:
Refused to display 'http://127.0.0.1/kindeditor/plugins/baidumap/map.html' in a frame because it set 'X-Frame-Options' to 'deny'
这是因为调用静态资源(html、jpg)等缺省是防止跨站,即http header:'X-Frame-Options'= 'deny'
静态资源 无法在代码中通过 response.setHeader("X-Frame-Options", "SAMEORIGIN");来设置http 头。
解决办法是在extends WebSecurityConfigurerAdapter 安全类中 ,protected void configure(HttpSecurity http) 中加入如下代码:
.headers().frameOptions().sameOrigin()即可,即所有的请求可以本站内iframe随意框套。