系统渗透测试报告了一个安全问题,低风险:
服务器数据包中没有设置X-Frame-Options等标识,这会可能导致网站发生点击劫持漏洞,威胁用户信息安全。
需添加X-Frame-Options响应头。这是一个下载SAPI (The OWASP Enterprise Security API)包解决的简单方法:
1、esapi-2.1.0.1.jar,下载地址:https://www.owasp.org。
https://download.csdn.net/download/chengcm/11072723
2、将esapi-2.1.0.1.jar放到web应用的lib目录下;
3、在web.xml中增加ClickjackFilter过滤器的设置,
<filter>
<filter-name>ClickjackFilterDeny</filter-name>
<filter-class>org.owasp.esapi.filters.ClickjackFilter</filter-class>
<init-param>
<param-name>mode</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>ClickjackFilterDeny</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
4、重启服务器,应该就可以了。也可以设置成 "DENY"