【转】Tomcat如何配置“X-Frame-Options头”

最新推荐文章于 2024-08-23 17:58:47 发布
最新推荐文章于 2024-08-23 17:58:47 发布
阅读量6.4k 收藏 3
点赞数 2
分类专栏: 网站技术(php、java等) tomcat&jetty

【原理】 配置http的响应头信息:属性名X-Frame-Options。
可以配置的参数有两个:
1.DENY:浏览器拒绝当前页面加载任何Frame页面。
2.SAMEORIGIN:页面只能加载入同源域名下的页面。
3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
一般选第二个参数就可以了。


方式一:每页面添加(太傻逼):

<% response.addHeader("x-frame-options","SAMEORIGIN");%>​​​​​​​

方式二:单个项目生效:
1.在src目录下建一个包,命名为filter。在包里建类名为FrameTao。内容如下:

 

  1. package filter;

  2.  

  3. import java.io.IOException;

  4. import javax.servlet.Filter;

  5. import javax.servlet.FilterChain;

  6. import javax.servlet.FilterConfig;

  7. import javax.servlet.ServletException;

  8. import javax.servlet.ServletRequest;

  9. import javax.servlet.ServletResponse;

  10. import javax.servlet.http.HttpServletRequest;

  11. import javax.servlet.http.HttpServletResponse;

  12.  

  13. public class FrameTao implements Filter {

  14.  
  15.  

  16. public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

  17. //必须

  18. HttpServletRequest request = (HttpServletRequest) req;

  19. HttpServletResponse response = (HttpServletResponse) res;

  20. //实际设置

  21. response.setHeader("x-frame-options", "SAMEORIGIN");

  22. //调用下一个过滤器(这是过滤器工作原理,不用动)

  23. chain.doFilter(request, response);

  24. }

  25.  

  26. public void init(FilterConfig config) throws ServletException {

  27. }

  28.  

  29. public void destroy() {

  30. }

  31.  

  32. }

2.在web.xml文件下添加以下内容:

 

  1. <!-- 设置Frame头,防止被嵌套 -->

  2. <filter>

  3. <filter-name>FrameFilter</filter-name>

  4. <filter-class>filter.FrameTao</filter-class>

  5. </filter>

  6. <filter-mapping>

  7. <filter-name>FrameFilter</filter-name>

  8. <url-pattern>/*</url-pattern>

  9. </filter-mapping>

  10.  

方式三:服务器(tomcat)上所有项目生效:
tomcat目录/conf/web.xml中的搜索httpHeaderSecurity配置(低版本不支持,需Tomcat 7.0.69以上),将其前面的注释去掉即可。

 

  1. <filter-mapping>

  2. <filter-name>httpHeaderSecurity</filter-name>

  3. <url-pattern>/*</url-pattern>

  4. <dispatcher>REQUEST</dispatcher>

  5. </filter-mapping>

 

  1. <filter>

  2. <filter-name>httpHeaderSecurity</filter-name>

  3. <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>

  4. <async-supported>true</async-supported>

  5. // 以下为额外添加

  6. <init-param>

  7. <param-name>antiClickJackingEnabled</param-name>

  8. <param-value>true</param-value>

  9. </init-param>

  10. <init-param>

  11. <param-name>antiClickJackingOption</param-name>

  12. <param-value>SAMEORIGIN</param-value>

  13. </init-param>

  14. </filter>

(复检)启动服务器。
打开火狐浏览器,打开你的此项目任一网页。
右键查看元素:

happydecai
关注
专栏目录
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持
【已解决】Tomcat配置“X-Frame-Options设置”警告的过滤器(详细)
黑夜的风的博客
11-30 1万+
很久以前,360提示我的网站有"X-Frame-Options设置的风险。 网上找了很多教程,大多是其他后台语言的教程。tomcat配置说的很简略(也许是太过简单,大神们不惜讲)。 小白的我捣鼓了下终于弄好了。现分享下: 【原理】配置http的响应信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。
nginx设置X-Frame-Options
最新发布
weixin_46742102的博客
08-23 1719
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示。SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示。重新加载:nginx -s reload。
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat
huangbaokang的博客
02-14 3179
发现项目中存在 X-Frame-Options 低危漏洞: 使用 X-Frame-Options X-Frame-Options 有三个值: DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri:表示该页面可以在指定来源的 frame 中展示。 换一句话说,...
Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】
身后是非的博客
03-14 1万+
X-Frame-Options Header未配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证 背景 最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header未配置 (低危) Web安全漏洞,下面为具体解决方法 漏洞描述 X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页...
tomcat设置X-Frame-Option
顺其自然~专栏
09-13 3959
1. 如果tomcat的lib目录下的catalina.jar中有org.apache.catalina.filters.HttpHeaderSecurityFilter。
Tomcat 配置“X-Frame-Options
liangpingguo的博客
01-30 2万+
【原理】 配置http的响应信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每页面添加(太傻逼): &lt;% response.addHeader(...
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options
时光有伱,记忆成花~
03-08 3万+
Tomcat目录下,配置请求 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catal...
tomcat设置响应:X-Frame-Options
weixin_34296641的博客
07-16 4077
2019独角兽企业重金招聘Python工程师标准>>> ...
配置您的 Web 服务器以包含 X-Frame-Options
weixin_45816407的博客
05-09 2960
X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在或者<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
X-Frame-Options相关文件
08-27
Tomcat是流行的Java应用服务器,可能会涉及到Web应用的安全配置,包括设置X-Frame-Options来保护其服务。 3. **CntenHttpHeaderSecurityFilter.java** - 这看起来是一个Java过滤器,可能用于添加或检查HTTP响应...
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
为了防范这种攻击,网站管理员应该在服务器端配置X-Frame-Options,指示浏览器是否允许页面在frame或iframe中显示。X-Frame-Options有三种可能的值: 1. **DENY**:不允许任何域加载此页面,包括同一域下的页面...
X-Frame-Options缺失漏洞修复-esapi.zip
07-17
X-Frame-Options允许服务器告诉浏览器是否可以在 iframe 或 object 元素中加载页面。如果不设置部,攻击者就有可能利用这个漏洞将目标网站嵌入到他们的恶意网页中,从而实现点击劫持。通常,X-Frame-Options...
tomcat jar 包
01-06
为了管理和配置Tomcat,用户可以编辑conf目录下的配置文件,如server.xml、web.xml等,这些文件定义了服务器的行为和设置。此外,通过管理界面(如Manager App)或命令行工具,可以进行应用的部署、更新和卸载。 ...
关于X-Frame-Options 响应配置避免点击劫持攻击的问题整理
夜阑吹雨的博客
05-11 3976
2018.05.07 客户反映学校网站被扫描到 X-Frame-Options Header未配置漏洞经查询得到的解决方案一:配置 Apache配置 Apache 的httpd.conf 在所有页面上发送 X-Frame-Options 响应,需要把下面这行添加到配置中:Header always append X-Frame-Options SAMEORIGIN配置位置:修改两个服务器,制作...
apache设置X-Frame-Options响应
安素
06-28 1万+
服务器未设置X-Frame-Options响应,易受到点击劫持攻击设置X-Frame-Options响应它有三个可选的值:DENYSAMEORIGINALLOW-FROM origin当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。在htt...
HTTP X-Frame-Options 防止iframe内框架调用
xinjiatao的专栏
12-27 1089
    -Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可...
application.properties详解 --springBoot配置文件
热门推荐
LPF的博客
10-19 3万+
# spring boot application.properties配置的各个属性详解 # 该示例文件作为标准提供。(官方文档 翻译过来的) # 还是花了些功夫翻译,各位如果发,请留下本文地址,谢谢 # 翻译过程中难免出现翻译错误的地方,如果有哪位大神发现有错误的地方,请您留言指正,感激不尽,共同进步。 # created  by lpf in 2017/10/19 # = = =
响应设置X-Frame-Options
weixin_46356409的博客
01-18 2004
通过设置’X-Frame-Options’响应,可以防止网页被嵌入到其他网站中,从而提高网站的安全性。网站容易受到点击劫持攻击:如果没有设置’X-Frame-Options’,攻击者可以在其他网站中嵌入恶意代码,诱使用户在不知情的情况下点击网页上的按钮或链接,从而执行恶意操作。网站可能无法在iframe中正常显示:如果没有设置’X-Frame-Options’,浏览器可能会阻止网页被嵌入到其他网站中,导致网页无法在iframe中正常显示。
tomcat 配置 X-Frame-Options
05-22
Tomcat 中可以通过修改 web.xml 或者 context.xml 文件来配置 X-Frame-Options 响应。具体步骤如下: 1. 打开 Tomcat 安装目录下的 conf 目录,找到 web.xml 文件,添加以下内容: ``` <filter-name>...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值