响应头设置,预防HTTP响应头缺失漏洞

已于 2024-01-19 12:31:35 修改
阅读量626 收藏 9
点赞数 4
文章标签: http 网络协议 网络 spring boot java 后端
于 2024-01-19 12:30:21 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/WangKun_0612/article/details/135694809
版权 
  /**
     * @param req
     * @param resp  
     * @Description 设置响应头
     * @Throws
     * @Return void
     * @Date 2021-07-06 19:17:16
     * @Author WangKun
     **/
    public static void setResponseHeader(HttpServletRequest req, HttpServletResponse resp) {
        try {
            req.setCharacterEncoding("UTF-8");
            // 响应头设置,预防HTTP响应头缺失漏洞
            resp.setHeader("X-Frame-Options", "SAMEORIGIN");
            resp.setHeader("Strict-Transport-Security", "max-age=31536000; includeSubdomains; preload");
            String origin = req.getHeader("Origin");
            if (origin == null) {
                origin = req.getHeader("Referer");
            }
            resp.setHeader("Referrer-Policy", origin);
            resp.setHeader("Content-Security-Policy", "default-src 'self'");
            resp.setHeader("X-Permitted-Cross-Domain-Policies", "master-only");
            resp.setHeader("X-XSS-Protection", "1;mode=block");
            resp.setHeader("X-Download-Options", "noopen");
            resp.setHeader("X-Content-TYpe-Options", "nosniff");

            resp.setHeader("Access-Control-Allow-Origin", origin);
            resp.setHeader("Access-Control-Allow-Credentials", "true");
            resp.setHeader("Access-Control-Max-Age", "3600");
            // 判断请求方法是否为OPTIONS
            if ("OPTIONS".equals(req.getMethod())) {
                // 设置响应头信息,禁止OPTIONS请求
                resp.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, HEAD");
                resp.setStatus(HttpServletResponse.SC_METHOD_NOT_ALLOWED);
            } else {
                resp.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, HEAD,OPTIONS");
            }

            resp.setHeader("Access-Control-Allow-Headers", "User-Agent,Origin,Cache-Control,Content-type,Date,Server,withCredentials,AccessToken");
            resp.setHeader("Access-Control-Expose-Headers", "accession");
            resp.setHeader("Access-Control-Request-Headers", "accession");
            resp.setHeader("Expires", "-1");
            resp.setHeader("Cache-Control", "no-cache");
            resp.setHeader("pragma", "no-cache");
            resp.setHeader("Cross-Origin-Embedder-Policy", "require-corp");
            resp.setHeader("Cross-Origin-Opener-Policy", "same-origin");
//            resp.setHeader("Cross-Origin-Resource-Policy", "same-origin");
//            resp.setHeader("Cross-Origin-Resource-Policy","same-site");
            resp.setHeader("Cross-Origin-Resource-Policy", "cross-origin");
            resp.setHeader("Permissions-Policy", "geolocation=(self)");
//            resp.setHeader("Clear-Site-Data", "cache,cookies");
            Cookie[] cookies = req.getCookies();
            if (cookies != null) {
                for (Cookie cookie : cookies) {
                    String value = cookie.getValue();
                    String builder = cookie.getName() + "=" + value + ";" +
                            "Secure;" +//Cookie设置Secure标识
                            "HttpOnly;";//Cookie设置HttpOnly
                    resp.addHeader("Set-Cookie", builder);
                }
            }
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
    }

掐指一算乀缺钱
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTML页面安全策略汇总(1):同源策略、CORS、COOP、COEP
weixin_44384265的博客
12-02 1201
本文是HTML页面安全汇总文章第一篇:详细介绍的策略包括同源策略、跨源资源共享CORS、跨源打开程序策略COOP、跨源嵌入器策略COEP。
如何解决响应缺失漏洞解决
zz_1231的博客
10-15 6679
测试抓包扫出有响应缺失漏洞,先给出解决方案,下面再详细解释每个漏洞。 public class ResponseHeadFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } public void doFilter(ServletRequest request, ServletResponse response...
安全扫描出现的响应缺失安全问题汇总
次日清晨的博客
07-12 3142
解决安全漏洞检测目标服务器启用了OPTIONS方法 点击劫持:X-Frame-Options未配置 检测目标Referrer-Policy响应缺失 Content-Security-Policy响应确实 检测目标X-Permitted-Cross-Domain-Policies响应缺失 检测目标X-Content-Type-Options响应缺失 检测目标X-XSS-Protection响应缺失 检测目标X-Download-Options响应缺失 点击劫持:X-Frame-Op.
【已解决】IIS环境检测到网站存在响应缺失、禁用Options方法、解决跨域攻击等不安全
最新发布
A_991128a的博客
06-04 856
环境下的网站存在响应缺失漏洞如下1、检测目标X-Content-Type-Options响应缺失2、检测目标X-XSS-Protection响应缺失3、检测目标Content-Security-Policy响应缺失 IIS设置4、检测目标X-Permitted-Cross-Domain-Policies响应缺失 重新配置IIS5、检测目标Strict-Transport-Security响应缺失 重新配置IIS。
由一个报错引发的浏览器跨域隔离探索
qq_53058639的博客
02-21 1096
1.SharedArrayBuffer是用来和线程之间进行数据交换访问的高效方法,被大量应用,例如WebAssembly 就使用 Worker 模拟了多线程。SharedArrayBuffer等可以用来当作高精度的计时器,为Spectre漏洞带来了方便。2.为了降低Spectre漏洞带来的危害,SharedArrayBuffer等支持高精度时间计算的API及可能方便为spectre漏洞提供内存共享的API都需要在跨域隔离的状态下才能启用。
Apache2 同源策略解决方案 - 配置 CORS
weixin_30491641的博客
11-23 357
什么是同源策略 现在的浏览器大多配有同源策略(Same-Origin Policy),具体表现如下: 浏览某一网站,例如 http://www.decembercafe.org/。这个网页中的 Ajax 请求(XMLHttpRequest)试图获取另一个网站(例如 http://www.csdn.net/)的数据时,会发生错误。 具体错误如下,Chrome 提示 ...
响应缺失、禁用Options方法、解决跨域
m0_37642477的博客
09-02 7824
web安全响应
前端开发之跨源读取阻止
m0_58371965的博客
10-18 7438
我们通常提到跨域问题的时候,相信大家首先会想到的是 CORS(跨源资源共享),其实 CORS 只是众多跨域访问场景中安全策略的一种,类似的策略还有: COEP: Cross Origin Embedder Policy:跨源嵌入程序策略 COOP: Cross Origin Opener Policy:跨源开放者政策 CORP: Cross Origin Resource Policy:跨源资源策略 CORB: Cross Origin Read Blocking:跨源读取阻止 COEP、COOP
检测目标X-Permitted-Cross-Domain-Policies响应缺失
lxyoucan的博客
07-19 4828
Web 服务器对于 HTTP 请求的响应中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效。当一些在线的 Web Flash 需要加载其他域的内容时,很多 Web 会通过设置一个 crossdomain.xml 文件的方式来控制其跨域方式。
检测目标Referrer-Policy响应缺失
lxyoucan的博客
07-14 3881
Web 服务器对于 HTTP 请求的响应中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。
用于检测HTTP请求缺失和CORS跨域漏洞的工具
07-02
- 使用安全的HTTP,如HSTS(HTTP Strict Transport Security)和HPKP(HTTP Public Key Pinning)增强安全性。 通过这个工具,开发者和安全专家可以更有效地管理和优化他们的Web服务,预防潜在的安全威胁,提高...
大数据在应急响应中的应用.pdf
08-07
其次是外部威胁,如APT攻击、0-day漏洞、WebShell和“免杀”型木马等,这些威胁很难被现有的应急响应体系所识别和应对。此外,企业对于攻击者的身份、攻击手段、攻击时间、目的和位置等信息一无所知,导致在攻防过程...
X-Frame-Options缺失漏洞修复-esapi.zip
07-17
在给定的场景中,"X-Frame-Options缺失漏洞修复-esapi.zip" 提供了一个解决方案,即使用ClickjackFilter.jar。这个过滤器是Enterprise Security API (ESAPI) 的一部分,ESAPI 是一个开源的安全库,旨在为Java应用...
ngnix 漏洞修复文档
03-03
1. X-Content-Type-Options 响应缺失 X-Content-Type-Options 是一种 HTTP 响应,用于防止 MIME 嗅探攻击。攻击者可以通过嗅探浏览器的 MIME 类型来 inject 恶意代码。通过添加 add_header 'Referrer-Policy' '...
在代码中审计漏洞的世界.pdf
08-29
同时,加强网络安全教育,提高开发人员的安全意识,实施严格的安全开发流程,是预防代码漏洞的根本途径。最后,对于发现的漏洞,应及时进行修复,避免漏洞被恶意利用,保护用户数据和系统的安全性。
IIS 缺失或不安全
一杯咖啡的博客
11-04 465
在web.config文件里面配置 <customHeaders> <add name="X-XSS-Protection" value="1;mode=block"/> <add name="X-Content-Type-Options" value="nosniff"/> <add name="Content-Security-Policy" value="default-src 'self';" /> </customHeaders
Nginx常见漏洞处理
a630192144的博客
08-25 3054
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
nginx 漏洞修复(二)
趴着的猫的博客
05-18 4896
1、HTTP Referrer-Policy 响应缺失 描述: Web 服务器对于 HTTP 请求的响应中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也成为了一个不安全的因素,所以就有了 Referrer-Policy,用于过滤 Referrer 报内容,其可选的项有:.
Content-Security-Policy响应缺失
10-20
如果网站缺少Content-Security-Policy响应,那么该网站的安全性可能会受到威胁。Content-Security-Policy是一种安全策略,它可以帮助网站防止跨站点脚本攻击(XSS)、点击劫持攻击等安全问题。如果网站没有设置Content-Security-Policy响应,那么攻击者可能会利用这个漏洞来攻击网站,例如注入恶意脚本或者劫持用户的点击行为。因此,建议网站管理员在网站中设置Content-Security-Policy响应,以提高网站的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值