【Java】解决安全漏洞

最新推荐文章于 2024-06-11 11:12:24 发布
最新推荐文章于 2024-06-11 11:12:24 发布
阅读量437 收藏
点赞数
分类专栏: Java 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014234260/article/details/126261571
版权
  1. X-Frame-Options Header Not Set
HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
res.setHeader("X-Frame-Options", "SAMEORIGIN");
chain.doFilter(req, res);

三种配置:

	X-Frame-Options: DENY (不允许在 frame 中展示,在相同域名的页面中嵌套也不允许)

	X-Frame-Options: SAMEORIGIN(该页面可以在相同域名页面的 frame 中展示)

	X-Frame-Options: ALLOW-FROM  uri(页面可以在指定来源的 frame 中展示 )

  1. X-Content-Type-Options Header Missing

     防止扫面器判断文档类型在头部加header("X-Content-Type-Options:nosniff")

HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
res.setHeader("X-Content-Type-Options", "Options:nosniff");
chain.doFilter(req, res);
  1. Cookie no HttpOnly Flag
    当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。
HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
res.setHeader("X_XSS_Protection", "1;mode=block");
chain.doFilter(req, res);

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>


0  -------  禁止XSS过滤。

1  ------- 启用XSS过滤(通常浏览器是默认的)。 如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。

1;mode=block  ------- 启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。

1; report=<reporting-URI>  (Chromium only)  
启用XSS过滤。 如果检测到跨站脚本攻击,浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告。
飘走的烟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java核心-安全基础】编写安全Java代码
一个被IT搞的
01-13 305
实现安全Java代码,需要从功能设计到实现细节,都充分考虑可能的安全影响。 以消耗系统资源为目的的攻击是很常见的方式。 CPU、线程、内存、文件描述符、数据库连接、再入锁等各种资源都可能成为攻击者消耗的目标。 常见代码问题 数值运算溢出 如: Java代码 if(a+b<c){ ... } a+b 可能超出上限。改成 a&...
X-Frame-Options Header Not Set漏洞解决
ssrswk9的博客
08-21 7294
这是用OWASP ZAP漏扫软件扫出来的漏洞漏洞提示响应头没有设置。通过过滤器设置响应头,扫描的时候还是存在漏洞。仔细排查,在tomcat 9服务器的conf目录下,web.xml文件中,加入一段过滤代码,解决问题。 在Java中增加过滤器的代码如下: HttpServletRequest req = (HttpServletRequest)request; HttpServletRespo...
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2495
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
描述常见的Java安全漏洞和防范措施
最新发布
m0_46552684的博客
06-11 647
通过实施这些防范措施,可以显著降低Java应用程序面临的安全风险,提高系统的安全性。一、常见的Java安全漏洞
X-Frame-Options简介
顺其自然~专栏
09-13 3462
表示该页面可以在相同域名页面的 frame 中展示。在支持旧版浏览器时,页面可以在指定来源的 frame 中展示。,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。这是一个被弃用的指令,不再适用于现代浏览器,请不要使用它。表示该页面可以在相同域名页面的frame中展示。,那么页面就可以在同域名页面的 frame 中嵌套。
你的网站安全吗?ZAP应用实例
科华在线
06-23 1062
按照清华大学出版社出版的新书《软件测试实战教程》第8章安全性测试,测试了一个Web应用,发现了5种问题。如图所示: 对每一种问题进行了分析,并提出了解决方案。解决问题后,再用ZAP扫描,已经没有这些问题了。 X-Frame-Options Header Not Set X-Frame-Options HTTP 响应头未设置 说明:HTTP响应中不包含X-Frame-Options头,以...
Java语言安全漏洞修复指引V1.0.doc
04-19
教你如何避免和解决Java开发中各种安全漏洞问题,非常好的书。
Java反序列化安全漏洞防控
04-19
本文描述了著名的java反序列漏洞的介绍的修补方案,主要是解决了Apache commons-collection的漏洞修补方案。
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
在标题提到的“高版本的fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过更新到1.2.71版本来修复这些已知的安全问题。 Fastjson的安全漏洞通常涉及其自动类型识别机制。这个机制允许JSON字符串...
Java漏洞靶场.zip
01-16
在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战...
java xframeoptions_x-frame-options
weixin_42099151的博客
03-01 744
背景在接入内容平台的时候, 内容平台使用iframe来嵌入ugc的帖子详情页, 让用户可以预览帖子详情。 但是帖子详情页不支持iframe的嵌入, 导致出现如下错误: ”star.aliexpress.com 拒绝了我们的连接请求。“ 具体如下:原因这是因为帖子详情页不支持iframe嵌入, 这个主要是因为spring boot默认为了安全, 默认不让网页支持嵌入, 帮助用户对抗点击劫持。解决办法...
X-Frame-Options header not set
weixin_34294649的博客
12-05 672
点击劫持header(‘X-Frame-Options:SAMEORIGIN’)当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SAMEORIGIN,则frame页面的地址只能为同源域名下的页面;若值为ALLOW-FROM,则可以定义允许frame加载的页面地址。 转载于:https://blog.51cto.com/dandanqs/13366...
Tomcat 配置“X-Frame-Options头”
热门推荐
liangpingguo的博客
01-30 2万+
【原理】 配置http的响应头信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每页面添加(太傻逼): &lt;% response.addHeader(...
DS_Store文件泄漏总结
王嘟嘟的博客
04-08 1万+
0x00 前言 导航:https://blog.csdn.net/qq_36869808/article/details/88895109 0x01 基础 .DS_Store是Mac下Finder用来保存如何展示文件//文件夹的数据文件,每个文件夹下对应一个。由于开发/设计人员在发布代码时未删除文件夹中隐藏的.DS_store,可能造成文件目录结构泄漏、源代码文件等敏感信息的泄露。 0x02 漏洞...
X-Content-Type-Options header missing
weixin_33709364的博客
12-05 2763
防止扫面器判断文档类型在头部加header("X-Content-Type-Options:nosniff") 转载于:https://blog.51cto.com/dandanqs/1336612
JAVA年度安全 第九周 X-FRAME-OPTIONS
New World
06-08 8376
Whatis it and why should I care? X-Frame-Options(在草拟的标准中已经移除X-,只保留Frame-Options)是一个新技术用来指定网站页面是否允许嵌入IFrame页面。这样能够解决点击劫持(clickjacking)攻击。 此技术是基于每个页面的HTTP响应头特定参数实现的。支持(X-)Frame-Options头参数的浏览器根据标准会允许或禁
java 设置contenttype_如何设置一个HttpClient的请求Content-Type头
weixin_42388485的博客
02-13 5763
展开全部android网络通信socket编程62616964757a686964616fe58685e5aeb931333363393134http编程介绍htt面网络请求式get请求post两种请求式GET式进行数据请求数据附加URL面传递给服务器比见:POST式则请求数据放HTTP请求作请求部传入服务器所进行HTTP编程前首先要明确究竟使用哪种式进行数据请求androidHttp编程两种:1...
大聪明教你学Java | Spring Boot 项目设置 X-Content-Type-Options 响应头
不肯过江东丶
03-04 2万+
大聪明开发的应用系统已经上线三年了,然而就在昨天依然被扫描出了一个漏洞 —— 远程 Web 系统应用程序不采取措施来减轻一类 Web 应用程序漏洞,说白了就是远程网络应用程序不设置 X-Content-Type 响应头。刚看到扫描报告的时候还真有点麻爪,不知道如何下手,最后经过一番努力还是成功的修复了这个漏洞,那么借此机会,大聪明就和大家分享一下如何修复此类漏洞
Java 文件上传漏洞怎么解决
03-13
Java文件上传漏洞是指在Web应用程序中,攻击者可以通过上传恶意文件来执行任意代码或者获取敏感信息的安全漏洞。为了解决这个漏洞,可以采取以下几个措施: 1. 文件类型检查:在上传文件时,对文件的类型进行检查,只允许上传指定的文件类型。可以通过检查文件的后缀名或者文件的MIME类型来进行判断。 2. 文件名检查:对上传的文件名进行检查,防止攻击者通过修改文件名来绕过文件类型检查。可以使用正则表达式或者白名单机制来限制文件名的格式。 3. 文件内容检查:在上传文件后,对文件内容进行检查,确保文件不包含恶意代码。可以使用杀毒软件或者自定义的检测规则对文件进行扫描。 4. 文件存储位置:将上传的文件存储在安全的位置,不要将文件存储在Web应用程序的根目录下,避免攻击者能够直接访问上传的文件。 5. 文件权限设置:对上传的文件设置合适的权限,确保只有需要访问该文件的用户才能够进行访问。 6. 输入验证:对用户输入进行验证和过滤,避免攻击者通过上传恶意文件名或者利用其他漏洞来执行任意代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值