Web安全漏洞 之 X-Frame-Options响应头配置

原理】配置http的响应头信息:属性名X-Frame-Options。

可以配置的参数有两个:

X-Frame-Options 响应头有三个可选的值:
DENY:页面不能被嵌入到任何iframe或frame中;
SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;
ALLOW-FROM:页面允许frame或frame加载。

在服务端设置的方式如下:

Java代码:
response.addHeader("x-frame-options","SAMEORIGIN");
Nginx配置:
add_header X-Frame-Options SAMEORIGIN
Apache配置:
Header always append X-Frame-Options SAMEORIGIN

一般选第二个参数就可以了。


【步骤】

1.在src目录下建一个包,命名为filter。在包里建类名为FrameTao。内容如下:

[java]  view plain  copy
  1. package filter;  
  2.   
  3. import java.io.IOException;  
  4. import javax.servlet.Filter;  
  5. import javax.servlet.FilterChain;  
  6. import javax.servlet.FilterConfig;  
  7. import javax.servlet.ServletException;  
  8. import javax.servlet.ServletRequest;  
  9. import javax.servlet.ServletResponse;  
  10. import javax.servlet.http.HttpServletRequest;  
  11. import javax.servlet.http.HttpServletResponse;  
  12.   
  13. public class FrameTao implements Filter {  
  14.   
  15.   
  16.     public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {  
  17.     //必须  
  18.         HttpServletRequest request = (HttpServletRequest) req;    
  19.         HttpServletResponse response = (HttpServletResponse) res;    
  20.         //实际设置  
  21.     response.setHeader("x-frame-options""SAMEORIGIN");    
  22.     //调用下一个过滤器(这是过滤器工作原理,不用动)  
  23.     chain.doFilter(request, response);  
  24.     }    
  25.   
  26.     public void init(FilterConfig config) throws ServletException {  
  27.     }  
  28.       
  29.     public void destroy() {  
  30.     }  
  31.       
  32. }  
2.在web.xml文件下添加以下内容:
[java]  view plain  copy
  1.       
  2.     
  3.     FrameFilter    
  4.     class>filter.FrameTaoclass>    
  5.     
  6.     
  7.     FrameFilter    
  8.     /*  
  9.  
    X-Frame-Options标头不包含在HTTP响应中以防止'ClickJacking'攻击
    缺少X-Frame-Options头
    缺少X-Content-Type-Options Header
    未启用Web浏览器XSS保护
    等的解决办法
    在tomcat下的conf里的web.xml中增加以下过滤器
    
     httpHeaderSecurity
     org.apache.catalina.filters.HttpHeaderSecurityFilter
     true
     
      antiClickJackingEnabled
      true
     
     
                                param>
      antiClickJackingOption
      SAMEORIGIN
     
    
    
     httpHeaderSecurity
     /*
    
    注意:tomcat8以下版本需要下载httpHeaderSecurity.jar这个包      
       

你可能感兴趣的:(安全漏洞)