JAVA WEB项目报“xxx响应头缺失“漏洞处理方案

最新推荐文章于 2024-10-30 13:41:37 发布
原创 最新推荐文章于 2024-10-30 13:41:37 发布 · 653 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #http

本文介绍了一个用于增强Web应用安全性的自定义拦截器。该拦截器通过在响应头中添加多个安全相关的HTTP头部来提升安全性,同时处理了Cookie的安全设置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

新增一个拦截器,在拦截器doFilter()方法增加以下代码

public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {
        //增加响应头缺失代码
        HttpServletRequest req=(HttpServletRequest)request;
        HttpServletResponse res=(HttpServletResponse)response;
        res.addHeader("X-Frame-Options","SAMEORIGIN");
        res.addHeader("Referer-Policy","origin");
        res.addHeader("Content-Security-Policy","object-src 'self'");
        res.addHeader("X-Permitted-Cross-Domain-Policies","master-only");
        res.addHeader("X-Content-Type-Options","nosniff");
        res.addHeader("X-XSS-Protection","1; mode=block");
        res.addHeader("X-Download-Options","noopen");
 
        //处理cookie问题
        Cookie[] cookies = req.getCookies();
        if (cookies != null) {
            for (Cookie cookie : cookies) {
                String value = cookie.getValue();
                StringBuilder builder = new StringBuilder();
                builder.append(cookie.getName()+"="+value+";");
                builder.append("Secure;");//Cookie设置Secure标识
                builder.append("HttpOnly;");//Cookie设置HttpOnly
                res.addHeader("Set-Cookie", builder.toString());
            }
 
        }
 
            chain.doFilter(request, response);
 
    }
服务器HTTP响应头安全性优化与漏洞修复方案
Bertram的博客
08-09 1240
服务器HTTP响应头安全性优化与漏洞修复方案
【网络安全 | 漏洞挖掘】分享22个基础漏洞案例
最新发布
等风来
03-03 2950
Web应用的 cms/upload.jsp 接口用于上传文件。然而,在未登录的情况下,直接使用 GET 或 POST 请求访问该接口,会返回错误信息。
如何解决响应头缺失漏洞解决
zz_1231的博客
10-15 6886
测试抓包扫出有响应头缺失漏洞,先给出解决方案,下面再详细解释每个漏洞。 public class ResponseHeadFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } public void doFilter(ServletRequest request, ServletResponse response...
网站扫描出的漏洞解决:检测到目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应头缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 9032
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 头信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
java filter response_使用java的自定义过滤器Filter 处理请求request 并响应response
weixin_33253331的博客
02-16 366
packagecom.enation.eop;importjava.io.BufferedReader;importjava.io.IOException;importjava.io.InputStream;importjava.io.InputStreamReader;importjava.io.PrintWriter;importjava.util.Collection;importjava....
java 前后端分离,跨域问题及获取响应头信息
wangshenglong6的博客
04-12 2114
java 前后端分离,跨域问题及获取响应头信息跨域问题解决方案 :基础filter 实现doFilter方法public class CORSFilter  implements Filter {    @Override    public void init(FilterConfig filterConfig) throws ServletException {    }    @Overri...
Web安全漏洞 X-Frame-Options响应头配置
yangwawa19870921的专栏
09-26 1083
介绍:可以参考 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options 下面记录一下Java部分的写法 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.s...
导致线上项目宕机的原因和排查手段
Apollo
10-30 1698
线上项目宕机的原因和排查手段,应该是全网比较全面的了,不进来看看?
国产化操作系统改造实践
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-10 7876
而这些广泛使用的系统都是美国控制范围之内,停服之后,我国将面临产品中断、安全漏洞、运维困难、生态缺失等问题。为降低非自主可控OS对网络安全及供应链的影响,国家及中移集团要求各单位要积极推进CentOS、RedHat及其衍生版本以及SUSE操作系统迁移,提前准备其他品牌非国产操作系统的迁移;目标系统采用基于国内开源社区欧拉社区和龙蜥社区发布的版本。1)上传商业版BCLinux 8.6或社区版Anolis 8.6 镜像到目标主机。2)部署配置FTP服务。
COMSOL安装:如何处理依赖项缺失,保证软件完整性
[COMSOL安装:如何处理依赖项缺失,保证软件完整性](https://cdn.comsol.com/wordpress/2017/01/The-Help-window.png) # 摘要 本文旨在详细探讨COMSOL软件的安装过程及其依赖项管理,以确保软件在不同操作系统中的...
Java>Response对象设置响应行、头、体及网页验证码图片刷新功能代码
越努力,越幸福!
09-23 1117
Response对象 功能:设置响应消息 1.设置响应行: 1.格式:HTT/1.1 200 ok 2.设置状态码:setStatus(int sc) 2.设置响应头:setheader(String name,String value) 3.设置响应体: ...
解决——并发请求丢失header请求头
东天里的冬天
08-10 4215
前段时间在工作的过程中发现并发调用的情况下,部分请求会丢失请求头的部分信息,故在此做下记录 自定义Runnable 注意RequestAttributes这个字段,是解决问题的关键所在 @Slf4j public class TaskRunnable implements Runnable { private String taskName; private Runnable runnable; private Map<String, String> con.
检测到目标X-Content-Type-Options响应头缺失
lxyoucan的博客
07-15 7600
X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应头缺失使得目标URL更易遭受跨站脚本攻击。
JAVA-添加HTTP响应头预防XXS攻击
有点儿文绉绉的小赖的博客
03-22 2599
http响应头缺失,会受到外部xxs跨站攻击,所以在项目中,我们需要可以通过一些配置来预防
安全
weixin_34273046的博客
05-23 1461
2019独角兽企业重金招聘Python工程师标准>>> ...
java http设置Host、Origin、referer等请求头
u014644574的博客
01-28 5047
java http设置Host、Origin等请求头
Java 接口请求头Header数据被吞 token值丢失部分字符 接口丢失参数 接口丢失请求头部分参数值
求是
02-03 1469
4. 继续完善了下打印信息的log,才将问题确定,即 token 出现问题,被吞掉是个字符,然后此时,确定前端没有问题,后端网关处也没有问题,此时将问题缩小到nginx 转发上。3. 此时笔者还想到一个方案(前端发版,将拦截器 出现token 过期接口代码处,将错误信息,当时的地址,路由,请求头,参数。3. 也查看了一些小程序的缓存时间,是否有自动删除策略,答案是并没有,小程序不会删除,我自己也没有删除小程序的缓存。偶发性,只有我和测试出现,第二天登陆小程序 出现 token过期,跳转登陆页面。
nginx 配置Https强转和Cross跨域配置撞车遇到的坑
TimerBin的博客
07-25 2135
一、背景说明 项目Https强转逻辑是在nginx层面配置的,Cross跨域逻辑处理是在项目Java代码层面处理的。 向服务器发起Http跨域请求时,出现Cross跨域逻辑处理失效问题 nginx 中Https 强转配置,如下所示: if ($server_port = 80 ) { rewrite ^(.*)$ https://$host$1 permanent; } Cros...
请求头没有origin参数_java – RestTemplate没有传递Origin头
weixin_39757893的博客
12-31 1816
有同样的问题,我花了一个世纪来修复.根本原因是来自RestTemplate文档的这一行Note: by default the RestTemplate relies on standard JDK facilities to establish HTTP connections.如果您在Java中检查HttpUrlConnection类的源代码,您将在下面的代码块中找到,并且标头Origin是禁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梁晓山(ben)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值