Tomcat本地部署项目时出现ClickjackFilterDeny问题

最新推荐文章于 2022-08-08 14:05:06 发布
最新推荐文章于 2022-08-08 14:05:06 发布
阅读量806 收藏
点赞数
分类专栏: 运维 文章标签: Tomcat部署问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/poleanNa/article/details/104036747
版权
在本地部署项目时,Tomcat由于加载ROOT目录的web.xml,导致遇到ClickjackFilter问题,由于lib中esapi-2.0.1.jar的ClickjackFilter类路径与web.xml配置不匹配,从而引发错误。解决方案是删除ROOT目录下web.xml的ClickjackFilter相关配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

现象:

信息: Deploying web application directory C:\software\apache-tomcat-7.0.29\webapps\ROOT
一月 19, 2020 9:29:29 上午 org.apache.catalina.core.StandardContext filterStart
严重: Exception starting filter ClickjackFilterDeny
java.lang.ClassNotFoundException: org.owasp.filters.ClickjackFilter
	at org.apache.catalina.loader.WebappClassLoader.loadClass(WebappClassLoader.java:1711)
	at org.apache.catalina.loader.WebappClassLoader.loadClass(WebappClassLoader.java:1556)
	at org.apache.catalina.core.DefaultInstanceManager.loadClass(DefaultInstanceManager.java:532)
	at org.apache.catalina.core.DefaultInstanceManager.loadClassMaybePrivileged(DefaultInstanceManager.java:514)
	at org.apache.catalina.core.DefaultInstanceManager.newInstance(DefaultInstanceManager.java:133)
	at org.apache.catalina.core.ApplicationFilterConfig.getFilter(ApplicationFilterConfig.java:256)
	at org.apache.catalina.core.ApplicationFilterConfig.setFilterDef(ApplicationFilterConfig.java:382)
	at org.apache.catalina.core.ApplicationFilterConfig.<init>(ApplicationFilterConfig.java:103)
	at org.apache.catalina.core.StandardContext.filterStart(StandardContext.java:4650)
	at org.apache.catalina.core.StandardContext.startInternal(StandardContext.java:5306)
	at org.apache.catalina.util.LifecycleBase.start(LifecycleBase.java:150)
	at org.apache.catalina.core.ContainerBase.addChildInternal(ContainerBase.java:901)
	at org.apache.catalina.core.ContainerBase.addChild(ContainerBase.java:877)
	at org.apache.catalina.core.StandardHost.addChild(StandardHost.java:618)
	at org.apache.catalina.startup.HostConfig.deployDirectory(HostConfig.java:1100)
	at org.apache.catalina.startup.HostConfig$DeployDirectory.run(HostConfig.java:1618)
	at java.util.concurrent.Executors$RunnableAdapter.call(Executors.java:471)
	at java.util.concurrent.FutureTask.run(FutureTask.java:262)
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
	at java.lang.Thread.run(Thread.java:745)
一月 19, 2020 9:29:29 上午 org.apache.catalina.core.StandardContext startInternal
严重: Error filterStart

原因:

          Tomcat在启动本项目时,也会加载ROOT目录下的web.xml。而下载的Tomcat的ROOT目录下的web.xml默认会有ClickjackFilter这个Filter,然而在项目的lib文件夹下没有ClickjackFilter.jar这个jar包。如果从网上下载esapi-2.0.1.jar,会惊奇的发现ClickjackFilter这个类的路径为org.owasp.esapi.filters.ClickjackFilter而不是web.xml所配置的路径org.owasp.filters.ClickjackFilter。so自然就报错了。

总结:

         Tomcat的bug,删除ROOT下web.xml相关配置即可。

Tomcat部署Web项目
qq_41941900的博客
06-28 5965
要使用这一方法部署未打包的webapp目录,只要把我们的项目(编译好的发布项目,非开发项目)放到Tomcat的webapps目录下就可以了。但这个候,我们发现,在访问我们的项目内容,必须加上我们的项目名字"myweb",这样很不好。当我们启动Tomcat候,Tomcat要做的第一件事就是解包war文件的内容到相同文件名的路径中,取出.war扩展名,然后从解包的目录中读取项目文件。这个候,我们再看一下Manager App页面的变化,如下图中圈中的部分,多了我们刚才发布的myweb项目
超详细的tomcat安装以及简略项目部署
最新发布
cfjbcg的博客
06-30 1454
tomcat的安装使用以及相关的项目部署
esapi-2.1.0.1.jar,OWASP的安全包包括ClickjackFilter(点击劫持)
03-29
OWASP的安全包,包括ClickjackFilter,解决点击劫持,可以设置 X-Frame-Options 。只用了这,其它就不懂了。
clickjack:一个检查子域是否有点击劫持攻击的简单工具
03-30
点击劫持测试仪 旨在检查网站是否容易受到点击劫持的python脚本,并将结果保存到Vulnerable.txt文件中。 用法 python3 clickjack.py <file> 例子 输入 python3 clickjack.py sites.txt sites.txt www.bugcrowd.com www.srsecure.xyz www.developer.pubg.com 输出 [-] www.bugcrowd.com is not Vulnerable [+] www.srsecure.xyz is Vulnerable [+] www.developer.pubg.com is Vulnerable
记一次Tomcat服务部署,启动过滤器异常,问题查找过程
sliker的博客
12-15 8289
org.apache.catalina.core.StandardContext.filterStart 启动过滤器异常;java.lang.AbstractMethodError
添加filter后tomcat启动失败(已解决)
pearz的博客
12-29 2071
问题:在添加filter过滤器后,web项目无法正常启动。检查后并未发现doFilter()有错误,web.xml配置也没错。 代码如下: 尝试启动后,控制台提示如下: 错误原因 实现Filter未重写init()方法 解决方法 在代码中重写init()方法,如下: ...
不容小视的漏洞——ClickJacking
追风筝的孩子
08-24 3739
 除了XSS和CSRF之外,还有一个被称为ClickJacking的web安全漏洞常常被大家遗忘,但绝对不能忽略。 是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。 由于点击劫持的出现,便出现了反frame嵌套的方式,因为点击劫持需要iframe嵌套页面来攻击。 解决方法:配置过滤器   首先,将Clickj...
tomcat配置部署web项目出现404问题和乱码
m0_46673600的博客
04-29 2126
IntelliJ IDEA的tomcat配置,以及部署web项目 自己刚开始配置的tomcat候 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了...
Windows系统安装、配置Tomcat部署项目
枯萎的灌木的博客
10-14 2574
Windows系统安装、配置Tomcat部署项目 Windows系统安装、配置Tomcat部署项目一、安装Tomcat二、启动或关闭Tomcat三、部署项目并访问 一、安装Tomcat 1、以管理员身份运行Tomcat应用程序 2、下一步后,点击‘我同意’ 3、选择默认,继续下一步 4、设置端口号和服务名称(一般默认不用管) 5、选择jre安装位置 6、选择服务安装位置并点击安装 7、等待安装完成 二、启动或关闭Tomcat 启动方法: 1)电脑任务栏图标启动或关闭 2)找到安装目录启动
Windows-tomcat 部署Java项目
y2964的博客
08-08 2631
Oracle官网地址。
filter.jar
03-24
每次项目都是要写登录和字符编码过滤器很是麻烦
X-Frame-Options头缺失漏洞修复-esapi.zip
07-17
X-Frame-Options头缺失漏洞 修复需要ClickjackFilter.jar ,引入esapi.jar(内含ClickjackFilter)即可。
详解使用angularjs的ng-options如何设置默认值(初始值)
10-19
本篇文章主要介绍了详解使用angularjs的ng-options如何设置默认值(初始值),具有一定的参考价值,有兴趣的可以了解一下
frame2.jar
11-02
frame2.jar,md5加密
owasp-esapi-js:最初是从code.google.compowasp-esapi-js导出的UNMAINTAINTED项目。 该项目已弃用。 有关更多详细信息和可能的替代方法,请参见README.md。
05-02
弃用-OWASP JavaScript企业安全性API(ESAPI-JS) 该文件是开放Web应用程序安全性项目(OWASP)企业安全性API(ESAPI)项目的一部分。 有关详细信息,请参阅 。 版权所有(c)2008-OWASP基金会 ESAPI由OWASP根据BSD许可发布。 在使用,修改和/或重新分发此软件之前,您应该阅读并接受许可。 警告:此项目已弃用且未维护。 使用风险自负。 不再支持该项目。 已知它可能会受到“攻击者”漏洞的影响(特别是CVE-2019-5484)。 可以通过将ESAPI-JS升级为使用Bower 1.8.8或更高版本来解决此漏洞,但是已经尝试过此漏洞,并在使用NPM导致部署问题。 有关详细信息,请参见随后的讨论。 ESAPI-JS的潜在替代品(又名ESAPI4JS) -ESAPI-JS输出编码器的最小端口,它不依赖于Bower,截至撰写本文(2
Clickjacking(点击劫持)
weixin_30737433的博客
02-12 158
Clickjacking(点击劫持)是一种视觉欺骗手段,通过在web端的iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。 解决方法:配置过滤器   首先,将ClickjackFilter.jar添加到lib目录下。 然后,打开webapps\ROOT\WEB-INF\web.xml添加以下过滤器: <filter&...
「第五章」点击劫持(ClickJacking)
hacckjacking
01-22 962
「第五章」点击劫持(ClickJacking) 「第五章」点击劫持(ClickJacking) 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouT...
tomcat漏洞修改
qq_35830057的博客
12-21 387
1、删除webapps目录中的docs、examples、host-manager、manager等正式环境用不着的目录,这一步就可以解决大部分漏洞   2、去掉webapps\ROOT中不需要目录和文件   3、解决掉“Slow HTTP Denial of Service Attack“漏洞   Slow HTTP Denial of Service Attack漏洞是利用HTTP PO...
logback logback.xml常用配置详解(三) <filter>
忘掉地平线
06-30 1511
原创文章,转载请指明出处:http://aub.iteye.com/blog/1110008, 尊重他人即尊重自己 详细整理了logback常用配置, 不是官网手册的翻译版,而是使用总结,旨在更快更透彻的理解其配置 logback 常用配置详解(序)logback 简介 logback 常用配置详解(一)&lt;configuration&gt; and &lt;logger&gt; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值