Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options

已于 2023-05-04 10:12:09 修改
阅读量3.4w 收藏 67
点赞数 12
分类专栏: Tomcat 文章标签: XSS   Header CSP Tomcat
于 2019-03-08 16:34:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li_wen_jin/article/details/88353763
版权

Tomcat目录下,配置请求头

        打开tomcat/conf/web.xml,增加如下配置(交流群:700637673)

    <filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <init-param>
            <param-name>antiClickJackingOption</param-name>
            <param-value>SAMEORIGIN</param-value>
        </init-param>
        <async-supported>true</async-supported>
    </filter>
    
    <filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

备注:如果找不到org.apache.catalina.filters.HttpHeaderSecurityFilter相关jar,可以去高版本Tocat中的catalina中将对应的HttpHeaderSecurityFilter.class拷贝进当前的低版本中。(用解压缩工具打开,直接拖拽进去,不要解压再压缩),然后重启服务,再查看请求头,你就会看到配置已生效。如图,左侧为未配置的请求头信息,右侧为配置后的请求头信息。

1、X-Frame-Options

       是为了减少点击劫持(Clickjacking)而引入的一个响应头,这个响应头支持三种配置:

  • DENY:不允许被任何页面嵌入;
  • SAMEORIGIN:不允许被本域以外的页面嵌入;
  • ALLOW-FROM uri:不允许被指定的域名以外的页面嵌入(Chrome现阶段不支持);

2、X-XSS-Protection

        这个响应头是用来防范XSS的,现在主流浏览器都支持,并且默认都开启了XSS保护,用这个header可以关闭它。它有几种配置:

  • 0:禁用XSS保护;
  • 1:启用XSS保护;
  • 1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);

        浏览器提供的XSS保护机制并不完美,但是开启后仍然可以提升攻击难度,总之没有特别的理由,不要关闭它。

3、 X-Content-Type-Options

        互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。

例如,我们即使给一个html文档指定Content-Type为"text/plain",在IE8-中这个文档依然会被当做html来解析。利用浏览器的这个特性,攻击者甚至可以让原本应该解析为图片的请求被解析为JavaScript。通过下面这个响应头可以禁用浏览器的类型猜测行为:

这个响应头的值只能是nosniff,可用于IE8+和Chrome。

X-Content-Type-Options: nosniff

4.、X-Content-Security-Policy

        这个响应头主要是用来定义页面可以加载哪些资源,减少XSS的发生。请参考:Content Security Policy 介绍 | JerryQu 的小站

        如何设置CSP呢,我们可以通过过滤器统一给其请求头添加,可参考下边我随便写的两个:

HttpServletResponse httpResponse = (HttpServletResponse) response;
httpResponse.setHeader("Content-Security-Policy", "frame-ancestors 'self'");
//httpResponse.setHeader("Content-Security-Policy", "default-src 'self';connect-src *; script-src 'self' 'unsafe-eval' 'unsafe-inline';style-src 'self' 'unsafe-inline';img-src 'self' * data: ; frame-ancestors 'self'");

Content-Security-Policy相关资料参考 https://www.w3.org/TR/CSP/#directive-frame-ancestors ,

Content-Security-Policy - HTTP | MDN

害~英语不行,大伙自力更生吧。参考地址

配置完的效果如下

总结:如果使用Tomcat8以上的版本,可以忽略这些配置,8.0以上版本已自带安全相关配置,如需用到,直接去tomcat/conf/web.xml启用即可。

时光有伱记忆成花
关注
专栏目录
tomcat httpHeaderSecurity.jar
04-09
X-Frame-Options标头不包含在HTTP响应中以防止'ClickJacking'攻击 缺少X-Frame-Options头 缺少X-Content-Type-Options Header 未启用Web浏览器XSS保护 等的解决办法 在tomcat下的conf里的web.xml中增加以下过滤器 httpHeaderSecurity org.apache.catalina.filters.HttpHeaderSecurityFilter true antiClickJackingEnabled true antiClickJackingOption SAMEORIGIN httpHeaderSecurity /* 注意:tomcat8以下版本需要下载httpHeaderSecurity.jar这个包
tomcat漏洞修复
m0_61069946的博客
03-19 5810
X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效。漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
Tomcat 服务器没有启用 httpHeaderSecurity 功能的解决方案
阿啄debugIT
02-09 7074
问题 针对以下问题进行修复: 缺少 "Content-Security-Policy" 头 缺少 "X-Content-Type-Options" 头 缺少 "X-XSS-Protection" 头 主要问题是 Tomcat 服务器没有启用 httpHeaderSecurity 功能 解决步骤及方法: 登入 192.168.18.66服务器,找到 Tomcat 配置目录:/root/vo...
HTTP响应头使用X-XSS-Protection检查 漏洞修复方案
最新发布
zengliguang的专栏
07-29 773
并不能完全解决所有的 XSS 问题,它只是提供了一种额外的防御机制。同时,及时更新浏览器和服务器软件,以修复可能存在的安全漏洞也是非常重要的。响应头的 HTTP 响应时,会根据其值来启用内置的 XSS 过滤器,并在检测到反射性 XSS 攻击时采取相应的措施,如清理页面或阻止页面加载等。响应头,可以在服务器配置文件中进行相应的添加。虽然这些保护在现代浏览器中基本上不是必需的,因为网站可以实施一个强大的。),但对于尚不支持 CSP 的旧版浏览器的用户,这样,当浏览器收到带有上述。仍然可以提供一定的保护。
Web安全之充分利用 X-Content-Type-Options
路多辛的所思所想
06-13 7175
X-Content-Type-Options 是一种 HTTP 响应头,用于控制浏览器是否应该尝试 MIME 类型嗅探。如果启用了 X-Content-Type-Options,浏览器将遵循服务器提供的 MIME 类型,用于防止浏览器执行 MIME 类型错误的响应体(response body)。
web安全:x-content-type-options头设置
juruiyuan111的专栏
03-18 2万+
如果服务器发送响应头 "X-Content-Type-Options: nosniff",则script和styleSheet元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。 简单理解为:通过设置"X-Content-Type-Options: nosniff"响应标头,对script和styleSheet在执行是通过MIME 类型来过滤掉不安全的文件 服务器发送含有"X-Content-Type-Options: n...
掌握X-Content-Type-Options头的防护之力
todoitbo的博客
03-05 3459
本文将深入探讨未设置X-Content-Type-Options头的潜在风险,以及如何通过正确配置这一头信息来确保用户代理以正确的方式呈现站点内容。通过生动的例子和实用的建议,帮助读者提高站点的安全性和内容一致性。
安全头响应头(三)​X-Content-Type-Options
xnxqwzy的博客
03-05 2475
一 [X-Content-Type-Options响应头](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options “X-Content-Type-Options响应头”)① 基础铺垫② 浏览器默认行为③ 问题引入相关配置说明④ 参考链接[css 的content-type为"text/html" 不是 “text/css”
apache-tomcat-8.0.9-windows-x64位 官方版
08-28
3. **安全性**:Tomcat 8.0.9包含了对安全性的改进,例如更新了SSL/TLS配置,支持更强大的加密算法,增强了对跨站脚本攻击(XSS)和SQL注入等常见Web威胁的防护。 4. **性能提升**:通过优化内部处理流程,8.0.9...
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单...一种是通过 HTTP 头信息的`Content-Security-Policy`的字段。
X-Scan安全测试
01-19
5. **配置检查**:针对网络设备、服务器配置进行检查,找出不合规或可能导致安全问题的配置项,如不必要的服务开启、默认密码未改等。 6. **隐写术检测**:隐写术是一种隐藏信息的技术,X-Scan能检查图片中是否...
php header Content-Type类型小结
10-28
通过正确设置Content-Type服务器能够告知浏览器或其他客户端应如何处理返回的内容。在文件上传、数据下载、Web API开发等场景中,正确地设置Content-Type非常关键。 本文主要对PHP中header函数设置Content-Type时...
content-security-policy.com:content-security-policy.com网站的源代码
04-27
内容安全策略(Content Security Policy,简称CSP)是Web安全领域的一个重要机制,用于帮助防止跨站脚本攻击(XSS)和其他潜在的安全威胁。它允许网站管理员通过定义一组策略来控制页面可以加载哪些资源,比如...
【已解决】“X-Content-Type-Options”头缺失或不安全
ZL_1618的博客
02-19 2356
是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在中,今天我们说下扫描结果中包含X-Content-Type-Options请求头header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。
配置web应用服务的Content-Security-Policy
热门推荐
CSDN技术支持
11-13 2万+
1.Tomcat中原生的Security 2.配置Tomcat的web.xml 3.配置html的META                                                                                  Tomcat中原生的Security Tomcat中的安全管理原理基本与前面JDK中的security类似,只是启动时需要...
tomcat设置X-Frame-Option
顺其自然~专栏
09-13 3800
1. 如果tomcat的lib目录下的catalina.jar中有org.apache.catalina.filters.HttpHeaderSecurityFilter。
HTTP协议安全头部X-Content-Type-Options引入的问题
Alf的专栏
12-05 2万+
转载:http://www.jackieathome.net/archives/369.html?utm_source=tuicool&amp;utm_medium=referral 前段时间测试MM反馈了一个问题,在富文本编辑器里上传的图片无法正常呈现。因为Jackie在本机的环境上没有观察类似的现象,而恰好那天测试环境的某个重要配项被改错了,于是Jackie想当然的归类为配置项错误引入的问题。...
大聪明教你学Java | Spring Boot 项目设置 X-Content-Type-Options 响应头
不肯过江东丶
03-04 2万+
大聪明开发的应用系统已经上线三年了,然而就在昨天依然被扫描出了一个漏洞 —— 远程 Web 系统应用程序不采取措施来减轻一类 Web 应用程序漏洞,说白了就是远程网络应用程序不设置 X-Content-Type 响应头。刚看到扫描报告的时候还真有点麻爪,不知道如何下手,最后经过一番努力还是成功的修复了这个漏洞,那么借此机会,大聪明就和大家分享一下如何修复此类漏洞。
X-Content-Type-Options windows
07-29
回答: "X-Content-Type-Options"是一个响应头,用于指示浏览器在处理资源时如何处理MIME类型。如果服务器发送响应头 "X-Content-Type-Options: nosniff",则script和styleSheet元素会拒绝包含错误的MIME类型的响应。这是一种安全功能,有助于防止基于MIME类型混淆的攻击。\[1\]\[2\]在Windows操作系统中,可以通过配置服务器来发送这个响应头,以增加网站的安全性。 #### 引用[.reference_title] - *1* [X-Content-Type-Options: nosniff](https://blog.csdn.net/weixin_34040079/article/details/92313326)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [web安全:x-content-type-options头设置](https://blog.csdn.net/juruiyuan111/article/details/114964427)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Tomcat服务器配置X-Content-Type-Options、X-XSS-ProtectionContent-Security-Policy、X-Frame-Options](https://blog.csdn.net/li_wen_jin/article/details/88353763)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值