关于 tomcat 与X-Frame-Options
来源:互联网 发布:mac第一次充电多久 编辑:程序博客网 时间:2024/06/05 09:39
公司项目 漏洞修复 有一条 “点击劫持:X-Frame-Options未配置”,在网上查了很多资料 基本上都是下面的内容
使用 X-Frame-Options 有三个可选的值:
- DENY:浏览器拒绝当前页面加载任何Frame页面
- SAMEORIGIN:frame页面的地址只能为同源域名下的页面
- ALLOW-FROM:origin为允许frame加载的页面地址
Apache配置:
nginx配置:
IIS配置:
- <system.webServer>
- ...
- <httpProtocol>
- <customHeaders>
- <addname="X-Frame-Options"value="SAMEORIGIN"/>
- </customHeaders>
- </httpProtocol>
- ...
- </system.webServer>
公司项目是只用了tomcat作为web服务器 ,网上搜的的内容好像并不符合我的要求。
本来的想法是在每个jsp页面中加
<%
response.addHeader("x-frame-options","SAMEORIGIN");
%>
可后来想想这种方法太蠢,万一过不了测试还要改过来。
于是又想到了一个方法,在项目原本的过滤器中加了如下代码
HttpServletResponse response = (HttpServletResponse) sResponse;
response.addHeader("x-frame-options","SAMEORIGIN");
貌似起了作用 等待客户测试吧!
0 0
- 关于 tomcat 与X-Frame-Options
- X-Frame-Options
- X-Frame-Options配置
- X-Frame-Options 响应头
- 【全网首发】Tomcat配置“X-Frame-Options头未设置”警告的过滤器(详细)
- The X-Frame-Options response header
- The X-Frame-Options response header
- springBoot springSecurty x-frame-options deny
- X-frame-options头为设置
- X-Frame-Options响应头缺失漏洞
- java 处理 X-Frame-Options header 漏洞
- html 处理 X-Frame-Options header 漏洞
- 关于HTTP头部信息X-Frame-Options的问题-防止网站被人嵌套
- 使用X-Frame-Options防止网页被Frame
- 使用X-Frame-Options防止网页被Frame
- HTTP响应头之X-Frame-Options, X-XSS-Protection
- JAVA年度安全 第九周 X-FRAME-OPTIONS
- HTTP X-Frame-Options 防止iframe内框架调用
- POJ 2585Window Pains
- 【笔试面试】第三波
- Memcached
- Java基础之-IO中的字节流
- 随机数
- 关于 tomcat 与X-Frame-Options
- linphone-ErrorInfoImpl文件对应的JNI层文件分析
- shell编程入门开始:
- HDOJ 2094 产生冠军
- winfrom—DataGridView导出Excel,并根据内容自动调整列宽
- 还在羡慕微信/微博的图片处理?-android酷炫图片处理(下)
- Linux终端命令查看自己的公网地址
- Android 地区和日期选择器(附源码)
- poj 2774 Long Long Message 后缀数组