博客

Web安全漏洞 之 X-Frame-Options响应头配置

  • Post author:
  • Post category:其他

原理】配置http的响应头信息:属性名X-Frame-Options。

可以配置的参数有两个:

X-Frame-Options 响应头有三个可选的值:
DENY:页面不能被嵌入到任何iframe或frame中;
SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;
ALLOW-FROM:页面允许frame或frame加载。

在服务端设置的方式如下:

Java代码:
response.addHeader(“x-frame-options”,”SAMEORIGIN”);
Nginx配置:
add_header X-Frame-Options SAMEORIGIN
Apache配置:
Header always append X-Frame-Options SAMEORIGIN

一般选第二个参数就可以了。


【步骤】

1.在src目录下建一个包,命名为filter。在包里建类名为FrameTao。内容如下:

[java] 
view plain
 copy

  1. package filter;  
  2.   
  3. import java.io.IOException;  
  4. import javax.servlet.Filter;  
  5. import javax.servlet.FilterChain;  
  6. import javax.servlet.FilterConfig;  
  7. import javax.servlet.ServletException;  
  8. import javax.servlet.ServletRequest;  
  9. import javax.servlet.ServletResponse;  
  10. import javax.servlet.http.HttpServletRequest;  
  11. import javax.servlet.http.HttpServletResponse;  
  12.   
  13. public class FrameTao implements Filter {  
  14.   
  15.   
  16.     public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {  
  17.     //必须  
  18.         HttpServletRequest request = (HttpServletRequest) req;    
  19.         HttpServletResponse response = (HttpServletResponse) res;    
  20.         //实际设置  
  21.     response.setHeader(“x-frame-options”“SAMEORIGIN”);    
  22.     //调用下一个过滤器(这是过滤器工作原理,不用动)  
  23.     chain.doFilter(request, response);  
  24.     }    
  25.   
  26.     public void init(FilterConfig config) throws ServletException {  
  27.     }  
  28.       
  29.     public void destroy() {  
  30.     }  
  31.       
  32. }  

2.在web.xml文件下添加以下内容:

[java] 
view plain
 copy

  1.     <!– 设置Frame头,防止被嵌套 –>  
  2. <filter>    
  3.     <filter-name>FrameFilter</filter-name>    
  4.     <filter-class>filter.FrameTao</filter-class>    
  5. </filter>    
  6. <filter-mapping>    
  7.     <filter-name>FrameFilter</filter-name>    
  8.     <url-pattern>/*</url-pattern>  
  9. </filter-mapping> 
     
    X-Frame-Options标头不包含在HTTP响应中以防止'ClickJacking'攻击
缺少X-Frame-Options头
缺少X-Content-Type-Options Header
未启用Web浏览器XSS保护
等的解决办法
在tomcat下的conf里的web.xml中增加以下过滤器
<filter>
 <filter-name>httpHeaderSecurity</filter-name>
 <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
 <async-supported>true</async-supported>
 <init-param>
  <param-name>antiClickJackingEnabled</param-name>
  <param-value>true</param-value>
 </init-param>
 <init-
                                param>
  <param-name>antiClickJackingOption</param-name>
  <param-value>SAMEORIGIN</param-value>
 </init-param>
</filter>
<filter-mapping>
 <filter-name>httpHeaderSecurity</filter-name>
 <url-pattern>/*</url-pattern>
</filter-mapping>
注意:tomcat8以下版本需要下载httpHeaderSecurity.jar这个包

       

版权声明:本文为xp_lx1原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。