【已解决】Tomcat配置“X-Frame-Options头未设置”警告的过滤器(详细)

最新推荐文章于 2024-06-14 07:32:52 发布
最新推荐文章于 2024-06-14 07:32:52 发布
阅读量1.8w 收藏 15
点赞数 1
文章标签: tomcat 过滤器 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chanlingmai5374/article/details/78674815
版权

很久以前,360提示我的网站有"X-Frame-Options头未设置的风险。

网上找了很多教程,大多是其他后台语言的教程。tomcat的配置说的很简略(也许是太过简单,大神们不惜讲)。

小白的我捣鼓了下终于弄好了。现分享下:


【原理】配置http的响应头信息:属性名X-Frame-Options。

可以配置的参数有两个:

1.DENY:浏览器拒绝当前页面加载任何Frame页面。
2.SAMEORIGIN:页面只能加载入同源域名下的页面。

一般选第二个参数就可以了。


【步骤】

1.在src目录下建一个包,命名为filter。在包里建类名为FrameTao。内容如下:

package filter;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class FrameTao implements Filter {


	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
	//必须
        HttpServletRequest request = (HttpServletRequest) req;  
        HttpServletResponse response = (HttpServletResponse) res;  
        //实际设置
	response.setHeader("x-frame-options", "SAMEORIGIN");  
	//调用下一个过滤器(这是过滤器工作原理,不用动)
	chain.doFilter(request, response);
	}  

	public void init(FilterConfig config) throws ServletException {
	}
	
	public void destroy() {
	}
	
}
2.在web.xml文件下添加以下内容: 
    <!-- 设置Frame头,防止被嵌套 -->
<filter>  
    <filter-name>FrameFilter</filter-name>  
    <filter-class>filter.FrameTao</filter-class>  
</filter>  
<filter-mapping>  
    <filter-name>FrameFilter</filter-name>  
    <url-pattern>/*</url-pattern>
</filter-mapping>

3.启动服务器。

打开火狐浏览器,打开你的此项目任一网页。

右键查看元素:

怎么样,是不是成功啦?

这样浏览器就明白,你的网页不允许被陌生人嵌套、操作了!


————

p.s:过滤器还是要学下,很多实用的功能都用得到。(静态化防盗链防非法请求etc)

黑夜的风
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 恶意攻击者可以利用漏洞攻击做到: 击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。
tomcat设置X-Frame-Option
顺其自然~专栏
09-13 3645
1. 如果tomcat的lib目录下的catalina.jar中有org.apache.catalina.filters.HttpHeaderSecurityFilter。
安全响应(二)​X-Frame-Options
最新发布
dzqxwzoe的博客
06-14 1192
一 [X-Frame-Options](https://developer.mozilla.org/en-①[相关参考 ](https://learn.microsoft.com/zh-cn/archive/blogs/ieinternals/combating-clickjacking-with-x-frame-options "相关参考 ")② 简介③ 语法④ 案例。
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options
热门推荐
时光有伱,记忆成花~
03-08 3万+
Tomcat目录下,配置请求 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catal...
Tomcat 配置“X-Frame-Options
liangpingguo的博客
01-30 2万+
【原理】 配置http响应信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每页面添加(太傻逼): &lt;% response.addHeader(...
使用tomcat搭建HTTP文件下载服务器
zhujianfeng2373的博客
05-19 955
1. 假设需要下载的文件目录是D:\download1(注意这里写了个1,跟后面的名称区分) 2. 设置 tomcat 的虚拟目录。在 {tomcat home}\conf\Catalina\localhost 下建一个任意名称(如download2)的 XML,内容如下: <?xml version="1.0" encoding="UTF-8"?> <Context path="/download2" reloadable="true" docBase="D:\download1"
Java部署Tomcat服务,安全风险的修改
挖掘机炒菜的专栏
11-21 470
Tomcat的web.xml中加载以下内容,重新启动服务即可 <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-cl...
X-Frame-Options相关文件
08-27
描述中提到的"X-Frame-Options缺失 in a frame because it set 'X-Frame-Options' to 'deny'",意味着在某个特定的场景下,一个网页没有设置X-Frame-Options,或者设置了值为'deny'的X-Frame-Options,这表明...
X-Frame-Options缺失漏洞修复-esapi.zip
07-17
引入ClickjackFilter.jar意味着你的Java应用将使用这个过滤器来自动添加X-Frame-Options。当应用服务器启动时,你需要配置Web.xml文件,将ClickjackFilter添加为一个过滤器,确保所有请求在处理之前都会经过这个...
iis、apache、nginx使用X-Frame-Options防止网页被Frame解决方法
09-30
然而,X-Frame-Options是更简单且广泛支持的解决方案,适用于大部分情况。 此外,虽然JavaScript和HTML的`<meta>`标签也能提供一定的防护,但它们可以被绕过,因此不如设置HTTP响应安全可靠。例如,JavaScript...
apache-tomcat-11.0.0-M17-windows-x64.zip
03-07
2. **解压与配置**:将`apache-tomcat-11.0.0-M17`文件夹解压到所需的目录,然后配置环境变量`CATALINA_HOME`指向该目录。 3. **启动与停止**:在Tomcat的`bin`目录下,可以通过执行`startup.bat`启动Tomcat,执行`...
apache-tomcat-9.0.2-windows-x64.zip
05-22
这个压缩包"apache-tomcat-9.0.2-windows-x64.zip"是Tomcat的第9.0.2版本,专为64位Windows操作系统设计。在这个版本中,用户可以找到所有必要的组件来设置和运行一个本地或开发环境中的Java应用服务器。 Tomcat...
apache-tomcat-9.0.2-windows-x64
12-14
"apache-tomcat-9.0.2-windows-x64"指的是Tomcat的第9.0.2版本,针对64位Windows操作系统设计的。这个版本是一个测试版,意味着它可能包含了最新的功能改进和修复,但尚未经过全面的生产环境验证。 1. **Tomcat 9.0...
apache-tomcat-9.0.37-windows-x64安装程序及配置说明.rar
09-07
文件包括tomcat-9.0.37的windows版的安装程序,是一个zip压缩文件,还有一份安装和配置的pdf说明文件。 个人博客地址:https://blog.csdn.net/Albert201605
apache-tomcat-8.5.47-windows-x64.zip
05-03
在本文中,我们将深入探讨与"apache-tomcat-8.5.47-windows-x64.zip"相关的知识,包括Tomcat的概述、版本8.5.47的特点、在Windows操作系统上的安装和配置,以及与Java技术栈的整合。 1. **Apache Tomcat简介** ...
apache-tomcat-8.5.45-windows-x64.zip
08-27
这个压缩文件`apache-tomcat-8.5.45-windows-x64.zip`包含了所有必要的组件,使得用户能够在Windows环境下搭建和运行Java Web应用程序。 首先,让我们深入了解Apache Tomcat的核心组件和功能: 1. **Catalina**: ...
第九节Windows等保测评服务器配置修改
zjltianxin的博客
11-03 2075
5.1.tomcat禁用3DES和DES算法:
【转】Tomcat如何配置“X-Frame-Options
happydecai的博客
05-15 6331
【原理】 配置http响应信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每页面添加(太傻逼): <% response.addHeader(...
Tomcat响应缺失
2301_77093780的博客
04-02 478
修改WEB应用的web.xml部署文件,插入限制请求方法的代码。
tomcat 配置 X-Frame-Options
05-22
X-Frame-Options 是一个 HTTP 响应,用来控制网站在 iframe 内的展示情况,可以用来防止网站被 Clickjacking 攻击。 Tomcat 中可以通过修改 web.xml 或者 context.xml 文件来配置 X-Frame-Options 响应。具体步骤如下: 1. 打开 Tomcat 安装目录下的 conf 目录,找到 web.xml 文件,添加以下内容: ``` <filter> <filter-name>XFrameOptionsFilter</filter-name> <filter-class>org.apache.catalina.filters.XFrameOptionsFilter</filter-class> <init-param> <param-name>sameOrigin</param-name> <param-value>false</param-value> </init-param> <init-param> <param-name>allowedFrom</param-name> <param-value>example.com</param-value> </init-param> </filter> <filter-mapping> <filter-name>XFrameOptionsFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 2. 如果是在单独的 Web 应用中使用 X-Frame-Options,可以在 WEB-INF 目录下添加一个名为 web.xml 的文件,内容和上面一样即可。 3. 也可以通过在 context.xml 文件中添加以下内容来设置 X-Frame-Options: ``` <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127\.0\.0\.1" /> ```
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值