Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器

最新推荐文章于 2024-03-17 06:23:46 发布
最新推荐文章于 2024-03-17 06:23:46 发布
阅读量8.2k 收藏 8
点赞数
分类专栏: WEB安全(漏洞)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25623257/article/details/90473677
版权

安全监测反馈如下: 

 有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设置HTTP头部中的X-Frame-Options信息。

X-Frame-Options 响应头有三个可选的值:
DENY:页面不能被嵌入到任何iframe或frame中;
SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;
ALLOW-FROM:页面允许frame或frame加载。

在服务端设置的方式如下:

Java代码:
response.addHeader("x-frame-options","SAMEORIGIN");
Nginx配置:
add_header X-Frame-Options SAMEORIGIN
Apache配置:
Header always append X-Frame-Options SAMEORIGIN
 

 

解决方案(第二种解决方法)

创建一个XFrameOptionsHeaderFilter拦截器

package com.fh.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 针对下述问题,添加HttpServletRequest,HttpServletResponse 拦截
 * 问题描述:返回X-Frame-Options或Content- Security-Policy (使用"frame-ancestors"指令) HTTP标头及页面的响应。这防止了在使用帧或iframe HTML标记时页面内容被其他站点渲染。
 * @author hxjr_baiyongliang
 * @date 2019年5月22日17:55:43
 *
 */
public class XFrameOptionsHeaderFilter implements Filter {
	String address = "*";//默认的访问地址,目前没有限制地址,* 代替
    public XFrameOptionsHeaderFilter() {
    }

    public void init(FilterConfig config) throws ServletException {
    }

    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, ServletException {
        //必须
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) resp;
        //实际设置
        /*X-Frame-Options 响应头有三个可选的值:
        DENY:页面不能被嵌入到任何iframe或frame中;
        SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;
        ALLOW-FROM:页面允许frame或frame加载。*/
        response.setHeader("x-frame-options", "SAMEORIGIN"); //只允许嵌入本网站页面
        response.setHeader("Content-Security-Policy", "default-src https: http: 'unsafe-inline' 'unsafe-eval';connect-src https: http:"); //针对safi和chrome
        response.setHeader("Set-Cookie", "cookiename=value;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
        chain.doFilter(req, resp);
    }

    public void destroy() {
    }

}

web.xml 加入

<!-- 配置Filter -->
<filter>
	<filter-name>XFrameOptionsHeaderFilter</filter-name>
	<filter-class>com.fh.filter.XFrameOptionsHeaderFilter</filter-class>
</filter>
<filter-mapping>
	<filter-name>XFrameOptionsHeaderFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

设置完成 

另外:Web 安全之内容安全策略(Content-Security-Policy,CSP)配置问题;详见: https://blog.csdn.net/qq_25623257/article/details/90473859

 

江小白写bug
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
koa-csp:用于设置响应头:Content-Security-Policy
02-03
koa-csp 这是Koa2中间件,用于设置响应标头Content-Security-Policy 安装 npm install koa-csp yarn add koa-csp 用法 import Koa from 'koa' ; import csp from 'koa-csp' ; const app = new Koa ( ) ; app . use ( csp ( ) ) ; // It is equivalent to app . use ( csp ( { enableWarn : true , policy : { 'default-src' : [ 'self' ]
关于网信办的扫描漏洞“X-Frame-Options”,“X-XSS-Protection“等三联漏洞
qq_20324305的博客
05-31 1792
最近网络安全更加重要,各大对外服务的网站都被网信办提醒及时打补丁补漏洞。 如下 3个漏洞常常是呈现三联漏洞一起出现: 缺失"Content-Security-Policy"头漏洞, 点击劫持:X-Frame-Options头缺失漏洞, 缺失"X-XSS-Protection"头漏洞, 缺失"X-Content-Type-Options"头漏洞 ...
网站扫描出的漏洞解决:检测到目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应头缺失等常用漏洞处理修复方法
最新发布
IT技术领域深耕10年+,北京大厂闯荡5年+
03-17 867
在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。strict-origin 在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。origin-when-cross-origin 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
解决iframe 请求security出现X-Frame-Options
我是一只蘑菇17的博客
09-27 1145
>>>> Springboot 2.x 要在继承了 WebSecurityConfigurerAdapter 的配置类中配置。插入.and().headers().frameOptions().在开发SpringSecurity配置的项目时,返回带有。结合SpringBoot只要在页面访问控制的配置中加上。()//防止iframe内容无法显示,解决问题!()//防止iframe内容无法显示。的页面时,无法显示。打开页面工具看到提示。
nginx设置X-Frame-Options防止自己的网站被其他人iframe引入
wei042的博客
03-21 2320
nginx设置X-Frame-Options属性,防止网站被别人用iframe嵌入使用
content-security-policy.com:content-security-policy.com网站的源代码
04-27
content-security-policy.com content-security-policy.com网站的源代码
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标头添加到ServletResponse
05-02
内容安全策略过滤器(Java) 将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数,则Header将如下所示: Content-Security-Policy = default-src 'none' 这是ContentSecurityPolicyFilter的示例完整配置。 <filter> <filter>ContentSecurityPolicyFilter</filter> <filter>de.saville.csp.ContentSecurityPolicyFilter</filter>
禁止iframe技术:X-Frame-Options frame-ancestors
sh2018的博客
10-24 1万+
X-Frame-Options DENY:禁止iframe SAMEORIGIN:只允许相同域名下的网页iframe,同源政策保护 ALLOW-FROM: https://example.com:白名单限制 但这个缺陷就是chrome、Safari是不支持ALLOW-FROM语法! php代码如下: header("X-Frame-Options: allow-from http://...
360网站安全提示"X-Frame-Options头未设置"怎么解决
QC班长的博客
06-10 2万+
X-Frame-Options 响应头 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个头来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 危害: 攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的i
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options
热门推荐
时光有伱,记忆成花~
03-08 3万+
Tomcat目录下,配置请求头 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catal...
X-Frame-Options简介
顺其自然~专栏
09-13 3213
表示该页面可以在相同域名页面的 frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame中展示。,那么页面就可以在同域名页面的 frame 中嵌套。
Content-Security-Policy.md
06-05
如何设置meta 标签防止XSS攻击,以及CSP的一些说明, CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 两种方法可以启用 CSP。一种是通过 HTTP 头信息的`Content-Security-Policy`的字段。
fastify-csp:固定插件以设置Content-Security-Policy标头
05-08
固定-csp 固定插件以设置Content-Security-Policy标头。 为什么? 您可能知道是使用的。 您也可以将其用作fastify的中间件。 那么,为什么我做了这个插件? 您可能会在找到原因,并希望您喜欢它。 :) 区别 该插件已通过所有测试用例。 但是csp有一些区别: 不支持kebab大小写指令名称。 所有指令名称都应以驼峰大小写。 使用lru缓存生成静态策略,不会影响动态情况。 安装 通过npm: npm i fastify-csp 通过纱: yarn add fastify-csp 用法 const fastify = require ( 'fastify' ) ; const fastifyCsp = require ( 'fastify-csp' ) ; const app = fastify ( ) ; app . register ( fa
提高安全性而在HTTP响应头中可以使用的各种响应头字段
qq_27195727的博客
05-05 539
X-Frame-Options 该响应头中用于控制是否在浏览器中显示frame或iframe中指定的页面,主要用来防止Clickjacking(点击劫持)攻击。 X-Frame-Options: SAMEORIGIN DENY 禁止显示frame内的页面(即使是同一网站内的页面) SAMEORIGIN 允许在frame内显示来自同一网站的页面,禁止显示来自其他网站的页面 ALLOW-FROM origin_uri允许在frame内显示来自指定uri的页面(当允许显示来自于指定网站的页面时使用) X-Cont
web漏洞-缺少X-Frame-Options标头
weixin_52630329的博客
08-09 2100
头可以帮助你保护你的网站免受点击劫持攻击。同时,还可以结合其他安全措施,比如 Content Security Policy(CSP),来进一步提高你的网站的安全性。
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2434
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
Web返回响应 X-Frame-Options 设置
草原孤狼的专栏
03-05 7579
好记忆不如烂笔头,能记下点东西,就记下点,有时间拿出来看看,也会发觉不一样的感受. 目录 一、问题 二、方案 三、代码 四、总结 一、问题 在Springboot做系统的页面嵌入的时候,报错如下: Refused to display 'http://xxx.com/#/aa/bb' in a frame because it set 'X-Frame-Options' ...
http安全头配置
zxl1990_ok的博客
07-06 772
X-Frame-Options X-Frame-Options 响应头是用来给浏览器指示允许一个页面 可否在 <frame>,<iframe>,<embed>或者<object>中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免点击劫持攻击。 功能 防御点击劫持。如果恶意的站点将你的网页嵌入iframe标签中,然后诱使用户在该站点上进行操作,此时用户将在不知情的情况下点击透明的iframe页面,从而诱使用户恰好点击在ifram...
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 8691
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
java过滤器添加 content-security-policy 响应头来指定规则
09-07
Java过滤器可以通过添加Content-Security-Policy响应头来指定规则。Content-Security-Policy是一个HTTP响应头,用于定义哪些资源可以加载到网页中,从而提供了一种保护网页免受恶意攻击的方法。 在Java过滤器中,可以借助javax.servlet.Filter接口的实现类来实现对HTTP请求和响应的拦截和处理。在拦截到目标请求后,可以通过HttpServletResponse对象设置响应头。 要添加Content-Security-Policy响应头,可以使用setHeader方法,将Content-Security-Policy作为名称,指定具体的规则作为值。例如,可以设置只允许加载同域下的脚本和样式表: ```java public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletResponse httpServletResponse = (HttpServletResponse) response; httpServletResponse.setHeader("Content-Security-Policy", "script-src 'self'; style-src 'self'"); chain.doFilter(request, response); } ``` 在上述例子中,使用setHeader方法将Content-Security-Policy设置为`script-src 'self'; style-src 'self'`,其中`script-src 'self'`指定只允许加载同域下的脚本,`style-src 'self'`指定只允许加载同域下的样式表。 通过在Java过滤器中添加Content-Security-Policy响应头,可以限制网页中资源的加载来源,进而提高网页的安全性,防止恶意攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值