【全网首发】Tomcat配置“X-Frame-Options头未设置”警告的过滤器（详细）

很久以前，360提示我的网站有"X-Frame-Options头未设置的风险。

网上找了很多教程，大多是其他后台语言的教程。tomcat的配置说的很简略（也许是太过简单，大神们不惜讲）。

小白的我捣鼓了下终于弄好了。现分享下：

【原理】配置http的响应头信息：属性名X-Frame-Options。

可以配置的参数有两个：

1.DENY：浏览器拒绝当前页面加载任何Frame页面。
2.SAMEORIGIN：页面只能加载入同源域名下的页面。

一般选第二个参数就可以了。

【步骤】

1.在src目录下建一个包，命名为filter。在包里建类名为FrameTao。内容如下：

package filter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;public class FrameTao implements Filter {public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {//必须        HttpServletRequest request = (HttpServletRequest) req;          HttpServletResponse response = (HttpServletResponse) res;          //实际设置response.setHeader("x-frame-options", "SAMEORIGIN");  //调用下一个过滤器（这是过滤器工作原理，不用动）chain.doFilter(request, response);}  public void init(FilterConfig config) throws ServletException {}public void destroy() {}}

2.在web.xml文件下添加以下内容：

    <!-- 设置Frame头，防止被嵌套 --><filter>      <filter-name>FrameFilter</filter-name>      <filter-class>filter.FrameTao</filter-class>  </filter>  <filter-mapping>      <filter-name>FrameFilter</filter-name>      <url-pattern>/*</url-pattern></filter-mapping>  

3.启动服务器。

打开火狐浏览器，打开你的此项目任一网页。

右键查看元素：

怎么样，是不是成功啦？

这样浏览器就明白，你的网页不允许被陌生人嵌套、操作了！

————

p.s:过滤器还是要学下，很多实用的功能都用得到。（静态化防盗链防非法请求etc）