本文针对绿盟科技扫描出的常见 WEB 应用漏洞做具体的修复,并包含了 Http 如何转 Https 的详细解决方案。
1 扫描路径为 docs、examples、host-manager、manager 之下的漏洞
修复方案:删除 docs、examples、host-manager、manager 文件夹(该方法可以修复扫描出来的大部分漏洞)
2 点击劫持:X-Frame-Options 未配置
修复方案:配置过滤器,在过滤器中配置 X-Frame-Options 为 SAMEORIGIN。
response.setHeader("x-frame-options", "SAMEORIGIN");
示例:
新增过滤器类 ResponseFilter.java:
public class ResponseFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response &