【已解决】Tomcat配置“X-Frame-Options头未设置”警告的过滤器(详细)

很久以前,360提示我的网站有"X-Frame-Options头未设置的风险。

网上找了很多教程,大多是其他后台语言的教程。tomcat的配置说的很简略(也许是太过简单,大神们不惜讲)。

小白的我捣鼓了下终于弄好了。现分享下:


【原理】配置http的响应头信息:属性名X-Frame-Options。

可以配置的参数有两个:

1.DENY:浏览器拒绝当前页面加载任何Frame页面。
2.SAMEORIGIN:页面只能加载入同源域名下的页面。

一般选第二个参数就可以了。


【步骤】

1.在src目录下建一个包,命名为filter。在包里建类名为FrameTao。内容如下:

package filter;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class FrameTao implements Filter {


	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
	//必须
        HttpServletRequest request = (HttpServletRequest) req;  
        HttpServletResponse response = (HttpServletResponse) res;  
        //实际设置
	response.setHeader("x-frame-options", "SAMEORIGIN");  
	//调用下一个过滤器(这是过滤器工作原理,不用动)
	chain.doFilter(request, response);
	}  

	public void init(FilterConfig config) throws ServletException {
	}
	
	public void destroy() {
	}
	
}
2.在web.xml文件下添加以下内容:
    
  
    FrameFilter  
    filter.FrameTao  
  
  
    FrameFilter  
    /*
  

3.启动服务器。

打开火狐浏览器,打开你的此项目任一网页。

右键查看元素:【已解决】Tomcat配置“X-Frame-Options头未设置”警告的过滤器(详细)_第1张图片

怎么样,是不是成功啦?

这样浏览器就明白,你的网页不允许被陌生人嵌套、操作了!


————

p.s:过滤器还是要学下,很多实用的功能都用得到。(静态化防盗链防非法请求etc)

你可能感兴趣的:(【已解决】Tomcat配置“X-Frame-Options头未设置”警告的过滤器(详细))