Tomcat如何配置"X-Frame-Options"头

最新推荐文章于 2024-08-23 17:58:47 发布
最新推荐文章于 2024-08-23 17:58:47 发布
阅读量2.5k 收藏 7
点赞数 1
文章标签: 过滤器 tomcat servlet java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ximaiyao1984/article/details/120287385
版权
本文介绍了如何通过设置HTTP响应头的X-Frame-Options属性来防止页面被嵌入到其他站点的框架中,从而避免点击劫持攻击。提供了三种配置方法:在每个页面中直接添加、在项目级别设置过滤器以及在服务器级别(如Tomcat)全局配置。重点讲解了SAMEORIGIN参数的使用,确保只有同源域名的页面能加载该内容。
摘要由CSDN通过智能技术生成

原理:配置http的响应头信息:属性名X-Frame-Options
可以配置的参数有两个:

  1. DENY:浏览器拒绝当前页面加载任何Frame页面。
  2. SAMEORIGIN:页面只能加载入同源域名下的页面。
  3. ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。

方式一:每页面添加(不推荐)

<% response.addHeader("x-frame-options","SAMEORIGIN");%>​​​​​​​

方式二:单个项目生效:

  1. 在src目录下建一个包,命名为filter。在包里建类名为FrameTao。内容如下:
package filter;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class FrameTao implements Filter {

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        // 必须
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        // 实际设置
        response.setHeader("x-frame-options", "SAMEORIGIN");
        // 调用下一个过滤器(这是过滤器工作原理,不用动)
        chain.doFilter(request, response);
    }

    public void init(FilterConfig config) throws ServletException {
    }

    public void destroy() {
    }
}
  1. 在web.xml文件下添加以下内容:
<!-- 设置Frame头,防止被嵌套 -->
<filter>
  <filter-name>FrameFilter</filter-name>
  <filter-class>filter.FrameTao</filter-class>
</filter>
<filter-mapping>
  <filter-name>FrameFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

方式三:服务器(tomcat)上所有项目生效:

tomcat目录/conf/web.xml中的搜索httpHeaderSecurity配置(低版本不支持,需Tomcat 7.0.69以上),将其前面的注释去掉即可。

<filter-mapping>
	<filter-name>httpHeaderSecurity</filter-name>
	<url-pattern>/*</url-pattern>
	<dispatcher>REQUEST</dispatcher>
</filter-mapping>

<filter>
	<filter-name>httpHeaderSecurity</filter-name>
	<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
	<async-supported>true</async-supported>
	<!--以下为额外添加-->
	<init-param>
		<param-name>antiClickJackingEnabled</param-name>
		<param-value>true</param-value>
	</init-param>
	<init-param>
		<param-name>antiClickJackingOption</param-name>
		<param-value>SAMEORIGIN</param-value>
	</init-param>
</filter>

重启服务器

打开火狐浏览器,打开你的此项目任一网页。 右键查看元素:

讓丄帝愛伱
关注
tomcat设置响应:X-Frame-Options
weixin_34296641的博客
07-16 4040
2019独角兽企业重金招聘Python工程师标准>>> ...
Tomcat 配置“X-Frame-Options
liangpingguo的博客
01-30 2万+
【原理】 配置http的响应信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每页面添加(太傻逼): &lt;% response.addHeader(...
nginx设置X-Frame-Options
最新发布
weixin_46742102的博客
08-23 788
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示。SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示。重新加载:nginx -s reload。
tomcat设置X-Frame-Option
顺其自然~专栏
09-13 3820
1. 如果tomcat的lib目录下的catalina.jar中有org.apache.catalina.filters.HttpHeaderSecurityFilter。
【转】Tomcat如何配置“X-Frame-Options
happydecai的博客
05-15 6388
【原理】 配置http的响应信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每页面添加(太傻逼): <% response.addHeader(...
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options
时光有伱,记忆成花~
03-08 3万+
Tomcat目录下,配置请求 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catal...
X-Frame-Options相关文件
08-27
Tomcat是流行的Java应用服务器,可能会涉及到Web应用的安全配置,包括设置X-Frame-Options来保护其服务。 3. **CntenHttpHeaderSecurityFilter.java** - 这看起来是一个Java过滤器,可能用于添加或检查HTTP响应...
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
为了防范这种攻击,网站管理员应该在服务器端配置X-Frame-Options,指示浏览器是否允许页面在frame或iframe中显示。X-Frame-Options有三种可能的值: 1. **DENY**:不允许任何域加载此页面,包括同一域下的页面...
X-Frame-Options缺失漏洞修复-esapi.zip
07-17
X-Frame-Options允许服务器告诉浏览器是否可以在 iframe 或 object 元素中加载页面。如果不设置此部,攻击者就有可能利用这个漏洞将目标网站嵌入到他们的恶意网页中,从而实现点击劫持。通常,X-Frame-Options...
tomcat 配置 X-Frame-Options
05-22
Tomcat 中可以通过修改 web.xml 或者 context.xml 文件来配置 X-Frame-Options 响应。具体步骤如下: 1. 打开 Tomcat 安装目录下的 conf 目录,找到 web.xml 文件,添加以下内容: ``` <filter-name>...
Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】
身后是非的博客
03-14 1万+
X-Frame-Options Header未配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证 背景 最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header未配置 (低危) Web安全漏洞,下面为具体解决方法 漏洞描述 X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页...
服务器设置X-Frame-Options Header响应(Tomcat,服务器,项目)
weixin_42517915的博客
09-25 4813
解决方案(修改tomcat配置文件) 打开Tomcat配置文件(conf\web.xml)搜索 httpHeaderSecurity有两处地方 <!--第一处将注释放开--> <filter> <filter-name>httpHeaderSecurity</filter-name> &l...
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat
dearbaba_8520的博客
04-21 372
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat
【已解决】Tomcat配置“X-Frame-Options未设置”警告的过滤器(详细)
黑夜的风的博客
11-30 1万+
很久以前,360提示我的网站有"X-Frame-Options未设置的风险。 网上找了很多教程,大多是其他后台语言的教程。tomcat配置说的很简略(也许是太过简单,大神们不惜讲)。 小白的我捣鼓了下终于弄好了。现分享下: 【原理】配置http的响应信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。
tomcat 配置修复X-Frame-Options 漏洞方法
小菜鸟的博客
04-12 2547
给您的网站添加X-Frame-Options响应,赋值有如下三种: DENY:无论如何不在框架中显示; SAMEORIGIN:仅在同源域名下的框架中显示; ALLOW-FROM uri:仅在指定域名下的框架中显示。 具体配置:在tomcat/conf/web.xml中配置下面代码: web.xml搜索httpHeaderSecurity,首先放开httpHeaderSecurity的注释 然后添加部分语句,下面是完整配置: <filter> <filter-na..
配置您的 Web 服务器以包含 X-Frame-Options
weixin_45816407的博客
05-09 2766
X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在或者<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
X-Frame-Options简介
热门推荐
zzhongcy的专栏
05-06 5万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。 网上查了查资料,这里记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
X-Frame-Options(点击劫持)
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
nginx增加X-Frame-Options配置,防止页面被嵌套
lwd2307997664的博客
03-13 6955
nginx增加X-Frame-Options配置,防止页面被嵌套 文章目录nginx增加X-Frame-Options配置,防止页面被嵌套一、X-Frame-Options配置添加 一、X-Frame-Options配置添加 生产环境的网站都会添加防盗链,不希望自己网页页面被其他站的FRAME嵌套进去, 这时候就需要的HTTP协议增加X-Frame-Options这一项。 X-Frame-Options的值有三个: (1)DENY — 表示该页面不允许在 frame 中展示,即便是在相同域名的页面
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

讓丄帝愛伱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值