背景
最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header未配置 (低危) Web安全漏洞,下面为具体解决方法
漏洞描述
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在<frame, <iframe 或者 <object 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
修复和改进建议
给您的网站添加X-Frame-Options响应头,赋值有如下三种:
- DENY:无论如何不在框架中显示;
- SAMEORIGIN:仅在同源域名下的框架中显示;
- ALLOW-FROM uri:仅在指定域名下的框架中显示。
注: 在网页中设置meta标签是无用的!例如, 是没有效果的。不要使用这种方式。需要在下面的配置实例中配置HTTPHeader的方式来进行配置,X-Frame-Options才会起作用。
具体解决办法
Tomcat
在web.xml添加如下配置
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSe