我在 API 的响应中收到了 X-Frame-Options 标头,但据我了解,为了防止点击劫持攻击,我需要将其添加到 UI 代码中。 UI代码(用angularjs编写)部署在Tomcat(版本7.0.72)服务器中。我尝试在应用程序的 web.xml 中添加以下过滤器。
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<async-supported>true</async-supported>
<init-param>
<param-name>antiClickJackingEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>DENY</param-value>
</init-param>
</filter>
然而,我看不到正在添加的标题。有人可以帮我找出解决方案吗?
我找到了解决方案。 X-Frame-Options 响应头需要通过 Tomcat 服务器上的 web.xml 添加。我的 web.xml 中缺少过滤器映射,因此未添加标头。对于可能面临此问题的其他人,我在此处发布了 web.xml 中的行:
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<async-supported>true</async-supported>
<init-param>
<param-name>antiClickJackingEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>DENY</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<welcome-file-list>
<welcome-file>index.html</welcome-file>
</welcome-file-list>
这样,就会添加以下标头:
• X 框架选项
• X-内容类型-选项
• X-XSS 保护
如果您没有为每个标头指定值,则将设置每个标头的默认值。您可以在 Tomcat 服务器文档中找到默认值。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)