java怎么增加跨帧脚本编制,web安全

X-Frame-Options

存在" X-Frame-Options 响应头缺失 "问题，显示可能会造成跨帧脚本编制攻击

风险：攻击者可以使用一个透明的、不可见的iframe，覆盖在目标网页上，然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击iframe页面的一些功能性按钮上，导致被劫持。

X-Frame-Options：

值有三个：

(1)DENY：表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。

(2)SAMEORIGIN：表示该页面可以在相同域名页面的 frame 中展示。

(3)ALLOW-FROM https://example.com/：表示该页面可以在指定来源的 frame 中展示。

5.tomcat控制

tomcat/cnf/web.xml

通过tomcat控制最方便，不过实际配置过程中，版本过低的tomcat会启动不了，建议tomcat版本不要低于7.0.69 .

httpHeaderSecurity

org.apache.catalina.filters.HttpHeaderSecurityFilter

antiClickJackingOption

SAMEORIGIN

true

httpHeaderSecurity

/*

内容安全策略CSP(Content-Security-Policy)

https://blog.csdn.net/u014465934/article/details/84199171

https://blog.csdn.net/qq_41211900/article/details/79907460

内容安全策略(CSP)，其核心思想十分简单：网站通过发送一个 CSP 头部，来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。

1.前言

内容安全策略 (CSP) 是一个额外的安全层，用于检测并削弱某些特定类型的攻击，包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件，这些攻击都是主要的手段。

CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。

CSP 大大增强了网页的安全性。攻击者即使发现了漏洞，也没法注入脚本，除非还控制了一台列入了白名单的可信主机。

2.CSP作用

限制资源获取

报告资源获取越权

X-XSS-Protection

https://www.freebuf.com/articles/web/138769.html

顾名思义，这个响应头是用来防范XSS的。最早是在IE8，现在主流浏览器都支持，并且默认都开启了XSS保护，用这个header可以关闭它。它有几种配置：

浏览器提供的XSS保护机制并不完美，但是开启后仍然可以提升攻击难度，总之没有特别的理由，不要关闭它。

X-XSS-Protection: 0; (关闭XSS过滤)

X-XSS-Protection: 1; (启用XSS过滤,如果检测到跨站脚本攻击，浏览器将清除页面(删除不安全的部分))

X-XSS-Protection: 1; mode=block (启用XSS过滤。 如果检测到攻击，浏览器将不会清除页面，而是阻止页面加载)。1; report=(Chromium only) (启用XSS过滤。 如果检测到跨站脚本攻击，浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告)。

http set-cookie

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Set-Cookie

https://www.antbaba.com/2018/09/14/%E5%85%B3%E4%BA%8Ehttp%E7%9B%B8%E5%BA%94%E4%B8%AD%E7%9A%84set-cookie/

只有客户端才能设置Cookie，服务端若想让客户端增加一个Cookie项，需要在应答时，在Http头部中，通过使用Set-Cookie，将要设置的Cookie项发送给客户端。这样客户端，在下次访问时，会带上该Cookie项。

Cookie相关的Http头

有 两个Http头部和Cookie有关：Set-Cookie和Cookie。

Set-Cookie由服务器发送，它包含在响应请求的头部中。它用于在客户端创建一个Cookie

Cookie头由客户端发送，包含在HTTP请求的头部中。注意，只有cookie的domain和path与请求的URL匹配才会发送这个cookie。

X-Content-Type-Options

https://blog.csdn.net/TivonaLH/article/details/86310298

功能：

互联网上的资源有各种类型，通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。然而，有些资源的Content-Type是错的或者未定义。这时，某些浏览器会启用MIME-sniffing来猜测该资源的类型，解析内容并执行。X-Content-Type-Options告诉浏览器content-type是由自己定义的。

如果服务器发送响应头 "X-Content-Type-Options: nosniff"，则 script 和 styleSheet 元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能，有助于防止基于 MIME 类型混淆的攻击。

简单理解为：通过设置"X-Content-Type-Options: nosniff"响应标头，对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件

https://blog.csdn.net/u013310119/article/details/84861900

package com.zichen.xhkq.filter;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

public class XFrameOptionsHeaderFilter implements Filter {

String address = "*";//默认的访问地址，目前没有限制地址，* 代替

public XFrameOptionsHeaderFilter() {

}

@Override

public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, ServletException {

//必须

HttpServletRequest request = (HttpServletRequest) req;

HttpServletResponse response = (HttpServletResponse) resp;

//实际设置

/*X-Frame-Options 响应头有三个可选的值：

DENY：页面不能被嵌入到任何iframe或frame中；

SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中；

ALLOW-FROM：页面允许frame或frame加载。*/

response.setHeader("x-frame-options", "SAMEORIGIN"); //只允许嵌入本网站页面

response.setHeader("Content-Security-Policy", "default-src https: http: 'unsafe-inline' 'unsafe-eval';connect-src https: http:"); //针对safi和chrome

response.setHeader("Set-Cookie", "cookiename=value;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

chain.doFilter(req, resp);

}

@Override

public void destroy() {

// TODO Auto-generated method stub

}

@Override

public void init(FilterConfig arg0) throws ServletException {

// TODO Auto-generated method stub

}

}