關於 tomcat 與X-Frame-Options
阿新 • • 發佈:2019-02-08
公司專案 漏洞修復 有一條 “點選劫持:X-Frame-Options未配置”,在網上查了很多資料 基本上都是下面的內容
使用 X-Frame-Options 有三個可選的值:
- DENY:瀏覽器拒絕當前頁面載入任何Frame頁面
- SAMEORIGIN:frame頁面的地址只能為同源域名下的頁面
- ALLOW-FROM:origin為允許frame載入的頁面地址
Apache配置:
- Header always append X-Frame-Options SAMEORIGIN
nginx配置:
- add_header X-Frame-Options SAMEORIGIN;
IIS配置:
- <system.webServer>
- ...
- <httpProtocol>
- <customHeaders>
- <addname="X-Frame-Options"value="SAMEORIGIN"/>
- </customHeaders>
- </httpProtocol>
- ...
- </system.webServer>
公司專案是隻用了tomcat作為web伺服器 ,網上搜的的內容好像並不符合我的要求。
本來的想法是在每個jsp頁面中加
<%
response.addHeader("x-frame-options","SAMEORIGIN");
%>
可後來想想這種方法太蠢,萬一過不了測試還要改過來。
於是又想到了一個方法,在專案原本的過濾器中加了如下程式碼
HttpServletResponse response = (HttpServletResponse) sResponse;
response.addHeader("x-frame-options","SAMEORIGIN");
貌似起了作用 等待客戶測試吧!