Java:“目标服务器没有返回一个X-Frame-Options头”的解决方案

最新推荐文章于 2024-03-01 11:30:00 发布
最新推荐文章于 2024-03-01 11:30:00 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: Java 文章标签: java springmvc X-Frame-Options 360 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaiyu2002/article/details/81268826
版权

原帖位于IT老兵博客,沉淀着一个IT老兵对于这个行业的认知。

Java:“目标服务器没有返回一个X-Frame-Options头”的解决方案。

前言

在涉及网站安全时遇到一个问题(360网站安全测试也会报告),“目标服务器没有返回一个X-Frame-Options头”,找了网上的帖子,说的都不是太清楚,所以研究总结一下,方便后人。

正文

问题描述

以下摘录一下对于安全网站这个问题的描述和建议解决方案:

概要
目标服务器没有返回一个X-Frame-Options头。
攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。

解决方案
修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
也可在代码中加入,在PHP中加入:
header(‘X-Frame-Options: deny’);

具体实例

但是我们的环境是JavaSpringmvc,这个应该怎么解决呢?其实Spring框架中的security本身有对这个问题的解决方案,但是这是之前的Spring框架中的(SSH那会的),现在用了SpringMVC了,应该怎么去解决这个问题呢?

参考这里,这里介绍说配置项目的web.xml文件如下,即可解决问题:

<filter>
    <filter-name>httpHeaderSecurity</filter-name>
    <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
    <init-param>
        <param-name>antiClickJackingOption</param-name>
        <param-value>SAMEORIGIN</param-value>
    </init-param>
    <async-supported>true</async-supported>
</filter>

<filter-mapping>
    <filter-name>httpHeaderSecurity</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

但是我这里又引出一个新的问题:

cvc-complex-type.2.4.a: Invalid content was found starting with element ‘async-supported’. One of ‘{“http://java.sun.com/xml/ns/javaee“:run-as, “http://java.sun.com/xml/ns/javaee“:security-role-ref}’ is expected.

意思是说async-supported这个元素不被识别。继续探索,找到这里说的:

xmlns中再加两行:
http://www.springmodules.org/schema/cache/springmodules-cache.xsd
http://www.springmodules.org/schema/cache/springmodules-ehcache.xsd

要在web.xml顶部的xmlns里面再加两行,问题才真正得到了解决。

分析

问题是解决了,但是问题产生的原因和解决的方法又是什么呢?

首先,这样设置web.xml的目的是什么?

找到Tomcat官网的讲解:

org.apache.catalina.filters.HttpHeaderSecurityFilter .//过滤器的类名
……
antiClickJackingOption //参数配置,可以设置成DENY(拒绝),SAMEORIGIN(同源),ALLOW-FROM(允许从哪里来的)
What value should be used for the anticlick-jacking header? Must be one of DENY, SAMEORIGIN, ALLOW-FROM (case-insensitive). If not specified, the default value of DENY will be used.

意思是说HttpHeaderSecurityFilter 这个过滤器是用来做anticlick-jacking(防止点击劫持,JavaWeb服务的优越性就在这里,很多功能都已经做成了工具类,只需要配置一下即可)。三个配置选项,我们上文中配置成了SAMEORIGIN(同源),安全性就大大提高了。
那么,上面配置这个过滤器就搞明白了,那么后面出现的那个问题又是怎么回事呢?

其次,web.xml的这个设置错误又是怎么回事?

这里要研究一下这段语句的意思,在web.xml的头部,可能很多人总会看到它,但不会去思考它:

<web-app version="3.0" 
    xmlns="http://java.sun.com/xml/ns/javaee 
    http://www.springmodules.org/schema/cache/springmodules-cache.xsd 
    http://www.springmodules.org/schema/cache/springmodules-ehcache.xsd"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
    http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">

xmlnsxmlnamespace,这个是为了解决多个开发者对于xml的命名会产生冲突的问题。
xmlns:xsi:定义了xml的标准前缀。
xsi:schemaLocationxmlschema定义的位置。

简言之,Java对于xml的名值设置了一套定义规则,发布在上面的地方,我们上面使用的这个元素名async-supported ,在之前的web.xml中所定义的位置是没有找到的,加了那两行的命名空间的定义,才可以找到这个元素定义的位置。

至此,问题基本搞明白了。

参考
https://www.w3schools.com/xml/schema_intro.asp

IT老兵驿站
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe ...
360网站安全提示"X-Frame-Options未设置"怎么解决
QC班长的博客
06-10 2万+
X-Frame-Options 响应 X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的i
java xframeoptions,Header:X-Frame-Options开启与关闭方法
weixin_39869593的博客
03-13 1528
X-Frame-Options主要是为了防止站点被别人劫持,iframe引入一、nginx配置形式:add_header X-Frame-Options ALLOWALL; #允许所有域名iframeadd_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名add_header X-Frame-Options SANEORIGIN; #允许相同...
X-Frame-Options缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
最新发布
xnxqwzy的博客
03-01 1173
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
X-Frame-Options ALLOW-FROM uri 过时导致 Invalid ‘X-Frame-Optionsheader
bikeRiver
06-27 1654
参考资料 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options 解决方案 参考资料 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/frame-ancestors
无 X-Frame-Options 信息 WEB安全问题的修复
weixin_33916256的博客
04-17 646
X-Frame-Options 响应 X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过...
HTTP 配置响应部 X-Frame-Options
qq_36856047的博客
09-09 4740
目标服务器没有返回一个X-Frame-Options。 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。 添加X-frame-options响应。 赋值有如下三种: (1)DENY:不能被嵌入到任何iframeframe中。 (2)SAMEORIGIN:页面只能被本站页面嵌入到ifram
JAVA年度安全 第九周 X-FRAME-OPTIONS
New World
06-08 8365
Whatis it and why should I care? X-Frame-Options(在草拟的标准中已经移除X-,只保留Frame-Options)是一个新技术用来指定网站页面是否允许嵌入IFrame页面。这样能够解决点击劫持(clickjacking)攻击。 此技术是基于每个页面的HTTP响应特定参数实现的。支持(X-)Frame-Options参数的浏览器根据标准会允许或禁
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2441
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
安全漏洞 点击劫持:X-Frame-Options未配置
qq_37432174的博客
01-06 2032
最近安全检测有遇到点击劫持:X-Frame-Options未配置,这个危险漏洞;这让我想起我曾经写过的一篇博客 同源策略 就是利用这个原理的; 同源策略 在不同的URL中,如果协议、域名、端口相同,那么这些URL则为同源,如果协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略,除非JS的这里不谈原理,原理就是利用同源策略机制进...
koa-xframe:适用于Koa的X-Frame-Options HTTP响应标实用程序
04-30
:light_bulb: 该中间件是为 v2.xx设计的,并使用来...// default settings -> set X-Frame-Options to 'DENY'app . use ( xFrame ( ) ) ;// custom settings// -> set X-Frame-Options to 'DENY'app . use ( xFrame (
X-Frame-Options未设置 防止网页被iframe内框架调用
01-20
描述: 目标服务器没有返回一个X-Frame-Options。 X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免...
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options缺失 in a frame because it set 'X-Frame-Options' to 'deny'
X-Frame-Options简介
顺其自然~专栏
09-13 3222
表示该页面可以在相同域名页面的 frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame中展示。,那么页面就可以在同域名页面的 frame 中嵌套。
Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】
身后是非的博客
03-14 1万+
X-Frame-Options Header未配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证 背景 最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header未配置 (低危) Web安全漏洞,下面为具体解决方法 漏洞描述 X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页...
java xframeoptions_x-frame-options
weixin_42099151的博客
03-01 727
背景在接入内容平台的时候, 内容平台使用iframe来嵌入ugc的帖子详情页, 让用户可以预览帖子详情。 但是帖子详情页不支持iframe的嵌入, 导致出现如下错误: ”star.aliexpress.com 拒绝了我们的连接请求。“ 具体如下:原因这是因为帖子详情页不支持iframe嵌入, 这个主要是因为spring boot默认为了安全, 默认不让网页支持嵌入, 帮助用户对抗点击劫持。解决办法...
web漏洞-缺少X-Frame-Options
qq_35578446的博客
06-13 1万+
当X-Frame-Options HTTP 响应丢失的时候,攻击者可以伪造一个页面,该页面使用前端技术精心构造一些诱惑用户点击的按钮、图片,该元素下方就是一个iframe标签,当用户点击后上层的元素后,就相当于点击了iframe标签引入的网页页面。......
Java】解决安全漏洞
程序猿的学习路途博客
08-10 419
安全
@RestController的作用
热门推荐
IT老兵的驿站
02-14 3万+
原文: 文章收藏于IT老兵博客。 正文 理解一下@RestControlle的作用。 This code uses Spring 4’s new @RestController annotation, which marks the class as a controller where every method returns a domain object instead of a ...
X-Frame-Options: DENY X-Content-Type-Options: nosniff
12-14
X-Frame-Options和X-Content-Type-Options都是HTTP响应,用于增强Web应用程序的安全性。其中X-Frame-Options用于防止点击劫持攻击,X-Content-Type-Options用于防止MIME类型混淆攻击。 如果设置X-Frame-Options为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值