我已经将CAS服务器设置为多个网站的SSO解决方案。
我使用JSON文件作为服务注册表。但是,我只想禁用其中一个网站的X-Frame-Options,因为它是使用iframe在其中嵌入一些模块的旧网站。出于安全原因,我不想在其他网站上禁用X-Frame-Options。
我已成功为这些网站设置了CAS,但是,我无法为该特定旧网站禁用X-Frame-Options。
CAS版本是5.3,我使用CAS官方网站上提到的配置:
https://apereo.github.io/cas/5.3.x/installation/Configuring-Service-Http-Security-Headers.html
这是旧网站的我的JSON文件:
{
"@class": "org.apereo.cas.services.RegexRegisteredService","serviceId": "^https://my-internal-site.com.*","name": "mysite","id": 1001,"evaluationOrder": 5,"attributeReleasePolicy": {
"@class": "org.apereo.cas.services.ReturnmappedAttributeReleasePolicy","authorizedToReleaseProxyGrantingTicket": true,"allowedAttributes": {
"@class": "java.util.TreeMap","username": "username","personUuid": "personUuid"
}
},"proxyPolicy": {
"@class": "org.apereo.cas.services.RegexMatchingRegisteredServiceProxyPolicy","pattern": "^https://.+"
},"properties" : {
"@class" : "java.util.HashMap","httpHeaderEnableXFrameOptions" : {
"@class" : "org.apereo.cas.services.DefaultRegisteredServiceProperty","values" : [ "java.util.HashSet",[ "false" ] ]
}
}
}
我尝试通过CAS仪表板查看配置,发现CAS已识别我的配置,并且可以在“ mysite”中看到httpHeaderEnableXFrameOptions的配置。
但是,我仍然无法为旧版网站(mysite)禁用X-Frame-Options。
我的配置有问题吗?还是我需要设置其他配置才能仅针对该旧网站禁用X-Frame-Options?
谢谢