Tomcat 配置“X-Frame-Options头”

【原理】 配置http的响应头信息：属性名X-Frame-Options。
可以配置的参数有两个：
1.DENY：浏览器拒绝当前页面加载任何Frame页面。
2.SAMEORIGIN：页面只能加载入同源域名下的页面。
3.ALLOW-FROM uri：只能被嵌入到指定域名的框架中。
一般选第二个参数就可以了。

方式一：每页面添加(太傻逼):

<% response.addHeader("x-frame-options","SAMEORIGIN");%>​​​​​​​

方式二：单个项目生效：
1.在src目录下建一个包，命名为filter。在包里建类名为FrameTao。内容如下:

package filter;
 
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
public class FrameTao implements Filter {
 
 
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
	//必须
        HttpServletRequest request = (HttpServletRequest) req;  
        HttpServletResponse response = (HttpServletResponse) res;  
        //实际设置
	response.setHeader("x-frame-options", "SAMEORIGIN");  
	//调用下一个过滤器（这是过滤器工作原理，不用动）
	chain.doFilter(request, response);
	}  
 
	public void init(FilterConfig config) throws ServletException {
	}
	
	public void destroy() {
	}
	
}

2.在web.xml文件下添加以下内容：

  
    FrameFilter  
    filter.FrameTao  
  

    FrameFilter  
    /*
  

方式三：服务器(tomcat)上所有项目生效：
tomcat目录/conf/web.xml中的搜索httpHeaderSecurity配置（低版本不支持，需Tomcat 7.0.69以上），将其前面的注释去掉即可。

      httpHeaderSecurity
      /*
      REQUEST

      httpHeaderSecurity
      org.apache.catalina.filters.HttpHeaderSecurityFilter
      true
      // 以下为额外添加
      
        antiClickJackingEnabled
        true
      
      
        antiClickJackingOption
        SAMEORIGIN
      

（复检）启动服务器。
打开火狐浏览器，打开你的此项目任一网页。
右键查看元素：