TongWeb相关http安全头设置方式

已于 2022-08-23 08:24:55 修改
阅读量6.8k 收藏 17
点赞数 9
分类专栏: web 文章标签: http 安全 webview
于 2021-12-16 16:50:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realwangpu/article/details/121973952
版权

一、X-Frame-Options响应头配置

        X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。在TongWeb bin目录下external.vmoptions中设置该参数:

       -Dtongweb.X_Frame_Options=SAMEORIGIN

有四个值:

  • DENY:浏览器拒绝当前页面加载任何 Frame 页面。
  • SAMEORIGIN:页面只能加载入同源域名下的页面(默认值)。 
  • ALLOW-FROM:只能被嵌入到指定域名的框架中。(部分浏览器不支持)
  • NONE:关闭该功能

显示结查如下:

HTTP/1.1 200 
X-Frame-Options: SAMEORIGIN
Content-Type: text/html;charset=GBK
Content-Length: 160
Date: Thu, 16 Dec 2021 06:19:09 GMT
Server: webserver

二、CORS跨域配置

       在应用的web.xml (只对本应用生效) 或TongWeb的conf/default-web.xml(对所有应用生效) 中加入如下filter。

  <filter>
    <filter-name>CorsFilter</filter-name>
		<filter-class>com.tongweb.catalina.filters.CorsFilter</filter-class>
		<init-param>
			<!-- 允许访问资源的源列表。可以指定*表示接受任意域名的请求 -->
			<param-name>cors.allowed.origins</param-name>
			<param-value>*</param-value>
		</init-param>
		<init-param>
			<!-- 以逗号分隔的HTTP方法列表 -->
			<param-name>cors.allowed.methods</param-name>
			<param-value>GET,POST</param-value>
		</init-param>
		<init-param>
			<!-- 跨域允许包含的头 -->
			<param-name>cors.allowed.headers</param-name>
			<param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control- Request-Method,Access-Control-Request-Headers</param-value>
		</init-param>
		<init-param>
			<param-name>cors.exposed.headers</param-name>
			<param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials </param-value>
		</init-param>
		<init-param>
			<param-name>cors.support.credentials</param-name>
			<param-value>true</param-value>
		</init-param>
		<init-param>
			<param-name>cors.preflight.maxage</param-name>
			<param-value>10</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>CorsFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

当应用访问请求头中含有Origin时

Origin: http://api.test.com

http响应头则含有cors头相关配置

HTTP/1.1 200 
Access-Control-Allow-Origin: http://api.test.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: Access-Control-Allow-Origin,Access-Control-Allow-Credentials
X-Frame-Options: SAMEORIGIN
Content-Type: text/html;charset=UTF-8

注意:TongWeb的CORS跨域配置默认是不开启的,若是在不配置的情况下,还有防跨域配置则多数是由应用spring开启了CORS跨域配置.

三、预防http host头攻击漏洞

      预防非法篡改http host头的值

Host: 192.168.0.33:8080

     可以在TongWeb7的web容器配置中设置host头的白名单,非白名单的Host值将被拦截。

萝卜白菜。
关注
  • 9
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TongWeb配置文件tongweb.xml概要说明
11-05
TongWeb配置文件tongweb.xml概要说明,TongWeb常见问题处理,用于运维的问题处理,便于解决应用部署时遇到的各种问题.
tongweb部署
01-11
tongweb下部署web应用,数据源配置,环境配置
web开发 - 跨域访问问题
Tom098的博客
12-28 588
web项目中,跨域访问很常见。所谓跨域访问,就是在访问第一个域(domain 1)的返回html页面中,有的元素比如<img><a>中携带到另外一个域(domain 2)的链接。 浏览器不会阻止对domain2的访问,但是对domain 2的相应结果却有要求,如果在domain 2中如果没有以下header参数,尤其是Access-Control-Allow-Origin设置的如果不是domain 1的域名或者 *(表示允许任意域访问), 那浏览器收到domain2的响应后,会
TongWeb跨域问题- No ‘Access-Control-Allow-Origin’ header is present on the requested resource.
最新发布
代号1998的专栏
04-23 357
在进行国产化适配的过程中,出现了Response to preflight request doesn’t pass access control check: No ‘Access-Control-Allow-Origin’ header is present on the requested resource.3.发现运维配置过程中,禁用了options方法.1.尝试使用反向代理和前后端COR配置,均无效。2.Get请求可以,而Options请求被拒绝。
什么是同源、跨域(CORS),如何解决跨域配置代理
qq_46302247的博客
03-01 1669
当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域
TongWeb上不同应用使用不同域名或不同端口的的办法
web的博客
12-30 4768
TongWeb上不同应用使用不同端口: 如果有app1、app2、app3三个应用,需要分别使用8081,8082,8083三个HTTP端口访问,可以这样配。 1.分别建8081,8082,8083三个HTTP端口。 2. 在TongWeb分别再建三个虚拟主机server1,server2, server3。注意:其中虚拟主机别名为TongWeb本机要访问的IP地址。每个虚拟主机只绑定其中一个端口。 3. 将app1、app2、app3三个应用分别部在server1,server2,ser...
web跨域设置
weixin_34336292的博客
07-24 83
2019独角兽企业重金招聘Python工程师标准>>> ...
TongWeb配置域名访问应用详解
Hand_Power的博客
01-26 3769
TongWeb配置域名访问应用详解 百度一大堆的tomcat配置多个应用多个域名的的实例,一看就是通过去修改server.xml的host去映射访问!TongWeb的实现的机制就很简单并且还是可视化界面操作给用户带很多的方便! 下面我们通过举例子说明TongWeb配置域名:应用->1:1和n:n的实例给大家讲解说明!当然也可以多个域名同事对应一个应用去访问,但是这样成本太高,不太实际这里就不着重给大家介绍,在下文我会给大家顺带说一句的! 注意:首先把 web容器配置->http通道管理->
通用各大浏览器跨域web配置
lioo7的博客
07-05 402
在将下面这段放到web.xml上&lt;filter&gt;      &lt;description&gt;跨域过滤器&lt;/description&gt;      &lt;filter-name&gt;CORS&lt;/filter-name&gt;        &lt;filter-class&gt;com.thetransactioncompany.cors.CORSFilte...
web跨域访问
qiu18610714529的博客
07-09 142
跨域 不同站点可以互相请求,不同的源(socket = ip+port)就是跨域 造成需要跨域的两种策略 浏览器同源策略,导致了需要跨域解决。 同源策略: DOM(html标签)同源策略:浏览器禁止对不同源DOM进行操作。主要是iframe,不同源的iframe是限制互相访问的 XmlHttpRequest同源策略:禁止使用XHR对象对不同源的服务器地址发起HTTP请求 为什么要有跨域限制 AJAX同源策略 因为web上标记登录信息的都是使用客户端存放的cookie,如果不同源能互相访问,B站点拿着A站
TongWeb服务器安全配置基线.doc编程资料
04-08
TongWeb服务器安全配置基线.doc
java web服务器实现跨域访问
08-25
主要为大家详细介绍了java web服务器实现跨域访问,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringMVC CORS跨域测试包
02-10
SpringMVC CORS跨域测试包
TongWeb上应用移植常见问题.doc
11-05
TongWeb常见问题处理,用于运维的问题处理,便于解决应用部署时遇到的各种问题.
tomcat跨域请求配置
11-18
首先下载cors-filter-2.5.jar和java-property-utils-1.9.1 1、把这两个jar包放在tomcat的lib下。 2、在conf文件夹下找到web.xml。 3、在web.xml中添加如下代码: CORS com.thetransactioncompany.cors.CORSFilter cors.allowOrigin * cors.supportedMethods GET, POST, HEAD, PUT, DELETE cors.supportedHeaders Accept, Origin, X-Requested-With, Content-Type, Last-Modified cors.exposedHeaders Set-Cookie cors.supportsCredentials true CORS /*
TongWeb的cacheMaxSize设置.doc
11-05
TongWeb常见问题处理,用于运维的问题处理,便于解决应用部署时遇到的各种问题
TongWeb V7.0 服务配置指南
07-31
RedisSession架构模式是TongWeb V7.0 中的一种Session管理方式,使用Redis存储会话信息。创建Session管理器需要配置Redis连接信息、Session超时时间、Session保存方式等参数。 在TongWeb V7.0 中,TongWeb-MQ是消息...
TongWeb嵌入式资料
06-15
TongWeb嵌入式资料是北京东方通科技股份有限公司推出的嵌入式解决方案,旨在提供一个强大、灵活、可靠的嵌入式应用服务器。该解决方案主要面向使用嵌入式版应用服务器进行应用开发的开发人员,以及生产环境的系统...
tongweb设置集群
05-19
Tongweb 可以通过设置集群来提高其性能和可靠性。以下是设置 Tongweb 集群的步骤: 1. 安装和配置 Tongweb:确保每个 Tongweb 实例都安装了相同的版本,并且它们都被正确地配置为使用相同的数据库和共享文件系统。 2. 配置反向代理:使用反向代理(如 Nginx 或 Apache)将所有 Tongweb 实例的流量路由到一个统一的入口点。 3. 使用负载均衡器:在反向代理之后,可以使用负载均衡器(如 HAProxy 或 AWS ELB)将流量分发到多个 Tongweb 实例。 4. 配置会话共享:在集群中,每个 Tongweb 实例必须能够访问相同的会话数据。可以使用共享文件系统(如 NFS)或数据库(如 Redis)来实现会话共享。 5. 配置数据库主从复制:为了确保数据一致性,可以在集群中使用数据库主从复制。这将确保每个 Tongweb 实例都可以访问最新版本的数据。 6. 监控和日志记录:在集群中,监控和日志记录非常重要。确保每个 Tongweb 实例都可以将其日志发送到同一个集中式日志记录系统,并且可以使用监控工具(如 Zabbix 或 Nagios)来监视集群的健康状况。 通过以上步骤,您可以设置一个高可用的 Tongweb 集群,提高其性能和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值