Tomcat响应头缺失

于 2024-04-02 14:03:25 发布
阅读量287 收藏
点赞数 1
文章标签: tomcat 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77093780/article/details/137267966
版权

java代码

package com.thinkgem.jeesite.common.filter;


import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class CharsetFilter implements Filter {
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        //必须
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        //实际设置
        response.setHeader("X-FRAME-OPTIONS", "SAMEORIGIN");
        response.addHeader("X-Permitted-Cross-Domain-Policies","master-only");
        response.addHeader("X-Download-Options","noopen");
        response.addHeader("X-Content-Type-Options","nosniff");
        response.addHeader("Referrer-Policy","no-referrer");


        //调用下一个过滤器(这是过滤器工作原理,不用动)
        chain.doFilter(request, response);
    }

    public void init(FilterConfig config) throws ServletException {
    }

    public void destroy() {
    }

}

web.xml配置

<!-- 设置Frame头,防止被嵌套 -->
	<filter>
		<filter-name>FrameFilter</filter-name>
		<filter-class>com.thinkgem.jeesite.common.filter.CharsetFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>FrameFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

修改WEB应用的web.xml部署文件,插入限制请求方法的代码

 <!--启用了不安全的方法的解决 -->
	<!-- close insecure http methods -->
	<security-constraint>
		<web-resource-collection>
			<web-resource-name>fortune</web-resource-name>
			<url-pattern>/*</url-pattern>
			<http-method>PUT</http-method>
			<http-method>DELETE</http-method>
			<http-method>HEAD</http-method>
			<http-method>OPTIONS</http-method>
			<http-method>TRACE</http-method>
		</web-resource-collection>
		<auth-constraint> </auth-constraint>
	</security-constraint>

标签解释

<security-constraint>用于限制对资源的访问;

<auth-constraint>用于限制那些角色可以访问资源,这里设置为空就是禁止所有角色用户访问;

<url-pattern>指定需要验证的资源

<http-method>指定那些方法需要验证
2301_77093780
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
检测目标X-XSS-Protection响应缺失【低危】
战神/calmness的博客
08-31 5679
目录 简介 过程 建议 简介 HTTP X-XSS-Protection 响应是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。 过程 打开网页抓包流量查看流量包信息 建议 增加X-XSS-Protection配置情况进行漏洞验证 ...
【绿盟】检测目标Referrer-Policy响应缺失
naansun的博客
11-19 6586
问题展示: 项目进行安全扫描 遇到以下低危的风险需要处理~ 响应缺失 需要更新后台文件 作为一枚前端菜鸟~我就这样开始了摸索的道路 因为项目是用tomcat部署到服务器上的 所以我们需要修改后台服务的文件web.xml 在web.xml中新增一下内容 重启: <filter> <filter-name>httpHeaderSecurity</filter-name> <filte...
【绿盟】检测目标Strict-Transport-Security响应缺失
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测目标URL存在客户端(JavaScript)Cookie引用 检测目标Strict-Transport-Security响应缺失 检测目标Referrer-Policy响应缺失 检测目标X-Permitted-Cross-Domain-Policies响应缺失 检测目标X-Download-Options响应缺失 点击劫持:X-Frame-Options未配置 ..
安全渗透测试解决方法以及使用nginx进行解决
qq_45621643的博客
12-07 1744
线上安全环境维护
web漏洞与修复
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-26 1659
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。 X-Content-Type-Options响应缺失使得目标URL更易遭受跨站脚本攻击。
检测目标Referrer-Policy响应缺失
lxyoucan的博客
07-14 3269
Web 服务器对于 HTTP 请求的响应中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。
网站安全响应缺失和php配置漏洞
春秋一阕任琦行
09-10 5167
最近给学校做网站,被查出各种响应缺失的 低危漏洞 和 一些配置漏洞,还有一些需要https的配置。。。。。 php.ini 中修改 expose_php off // php彩蛋信息泄露 session.cookie_httponly=true // cookie没有设置httponly属性 PHP 配置 header("X-Frame-Options:SAMEO...
【已解决】“X-Content-Type-Options缺失或不安全
最新发布
wangluoanquan111的博客
03-25 908
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
响应缺失、禁用Options方法、解决跨域
m0_37642477的博客
09-02 6862
web安全响应
Tomcat安全方面设置 简单配置过程 说明
05-19
Tomcat安全方面设置 简单配置过程 说明 Tomcat安全方面设置 简单配置过程 说明 Tomcat安全方面设置 简单配置过程 说明 Tomcat安全方面设置 简单配置过程 说明
Tomcat的Server Options选项详解
01-10
一、配置 默认前两个是没有勾选的,应该勾选上:  (1)Server Options的第一个选项Serve modules without publishing 在默认情况下,当项目部署到tomcat中,该插件会把项目文件拷贝到上一个配置项Server Locations中的显示Server path的wtpwebapps目录下,即当前wrokspace所在目录下的。metadata子目录中,如我的wrokspace是D:\workspace,那么该目录是:D:\workspace\.metadata\.plugins\org.eclipse.wst.server.core\tmp0\wt
jdk6.0 + Tomcat6.0的简单jsp,Servlet,javabean的调试
07-24
在调试过程中,可能会遇到各种问题,如权限问题、配置错误、依赖库缺失等。这时,检查日志文件(通常位于`Tomcat安装目录/logs`下)是排查问题的关键。同时,确保JDK和Tomcat的版本兼容,以及遵循最佳实践,如正确...
HW防守_Windows应急响应基础1
08-03
同时,查看进程详细信息,如通过`msinfo32`、D盾或Process Explorer,特别关注那些没有签名验证信息、描述信息缺失、属主不明、路径异常、长时间占用大量CPU或内存资源的进程。 计划任务是另一种潜在的安全风险点,...
webservices调用方法
08-05
Tomcat这样的Servlet容器中,Servlets被加载并执行以响应客户端请求。 8. **TOMCAT+AXIS配置**: - 安装JDK 1.5或更高版本,因为Axis需要XML解析包。 - 下载并安装Tomcat服务器,确保版本在4.0以上。 - 将Axis...
用户登录验证
03-01
- `HttpServletResponse`接口用于设置响应、状态码以及向客户端发送数据。 3. **请求参数获取**: 在`LoginCl.java`中,通过`req.getParameter("username")`和`req.getParameter("password")`获取表单提交的...
nginx漏扫出现问题及解决方法
wwppp987的博客
06-11 3925
如果需要找的漏扫问题,可以在评论区发言,我看到就会回复。 检测目标X-Content-Type-Options响应缺失 add_header 'Referrer-Policy' 'origin'; 检测到错误页面web应用服务器版本信息泄露 修改404页面及500页面,不要出现apache、nginx等字样 检测目标Referrer-Policy响应缺失 add_header 'Referrer-Policy' 'origin'; 检测目标X-XSS-Protection响应缺失 add_
【已解决】Tomcat配置“X-Frame-Options未设置”警告的过滤器(详细)
热门推荐
黑夜的风的博客
11-30 1万+
很久以前,360提示我的网站有"X-Frame-Options未设置的风险。 网上找了很多教程,大多是其他后台语言的教程。tomcat的配置说的很简略(也许是太过简单,大神们不惜讲)。 小白的我捣鼓了下终于弄好了。现分享下: 【原理】配置http的响应信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。
安全扫描出现的响应缺失安全问题汇总
次日清晨的博客
07-12 3031
解决安全漏洞:检测目标服务器启用了OPTIONS方法 点击劫持:X-Frame-Options未配置 检测目标Referrer-Policy响应缺失 Content-Security-Policy响应确实 检测目标X-Permitted-Cross-Domain-Policies响应缺失 检测目标X-Content-Type-Options响应缺失 检测目标X-XSS-Protection响应缺失 检测目标X-Download-Options响应缺失 点击劫持:X-Frame-Op.
tomcat Content-Security-Policy缺失
03-16
Tomcat服务器的响应中缺少Content-Security-Policy时,可能会存在一些安全风险。Content-Security-Policy(CSP)是一种安全策略,用于限制网页中可以加载的资源和执行的操作,以减少潜在的跨站点脚本攻击(XSS)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值