- X-Frame-Options Header Not Set
HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
res.setHeader("X-Frame-Options", "SAMEORIGIN");
chain.doFilter(req, res);
三种配置:
X-Frame-Options: DENY (不允许在 frame 中展示,在相同域名的页面中嵌套也不允许)
X-Frame-Options: SAMEORIGIN(该页面可以在相同域名页面的 frame 中展示)
X-Frame-Options: ALLOW-FROM uri(页面可以在指定来源的 frame 中展示 )
-
X-Content-Type-Options Header Missing
防止扫面器判断文档类型在头部加header("X-Content-Type-Options:nosniff")
HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
res.setHeader("X-Content-Type-Options", "Options:nosniff");
chain.doFilter(req, res);
- Cookie no HttpOnly Flag
当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。
HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
res.setHeader("X_XSS_Protection", "1;mode=block");
chain.doFilter(req, res);
X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>
0 ------- 禁止XSS过滤。
1 ------- 启用XSS过滤(通常浏览器是默认的)。 如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。
1;mode=block ------- 启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。
1; report=<reporting-URI> (Chromium only)
启用XSS过滤。 如果检测到跨站脚本攻击,浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告。