JAVA-添加HTTP响应头预防XXS攻击

已于 2023-03-22 16:12:12 修改
阅读量2.5k 收藏 10
点赞数 1
分类专栏: 项目实战优化 文章标签: web安全
于 2023-03-22 16:02:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36639124/article/details/129712038
版权
文章介绍了两种方法来增强Web应用的安全性。方案一是通过修改web.config文件,添加或更新包括X-Content-Type-Options、X-XSS-Protection等在内的安全响应头。方案二是使用Spring框架的自定义过滤器MyFilter,通过设置响应头来防御HTTP响应头缺失漏洞。这两种方式都可以防止一些常见的安全攻击,如内容嗅探、跨站脚本攻击等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

方案一:在web.config中配置

<customHeaders>
    <!--检测到目标X-Content-Type-Options响应头缺失-->
    <add name="X-Content-Type-Options" value="nosniff" />
    <!--检测到目标X-XSS-Protection响应头缺失-->
    <add name="X-XSS-Protection" value="1;mode=block" />
    <!--检测到目标Content-Security-Policy响应头缺失-->
    <add name="Content-Security-Policy" value="default-src 'self'" />
    <!--检测到目标Strict-Transport-Security响应头缺失-->
    <add name="Strict-Transport-Security" value="max-age=31536000" />
    <!--检测到目标Referrer-Policy响应头缺失-->
    <add name="Referrer-Policy" value="origin-when-cross-origin" />
    <!--检测到目标X-Permitted-Cross-Domain-Policies响应头缺失-->
    <add name="X-Permitted-Cross-Domain-Policies" value="master-only" />
    <!--检测到目标X-Download-Options响应头缺失-->
    <add name="X-Download-Options" value="noopen" />
    <!--点击劫持:X-Frame-Options未配置-->
    <add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>

方案二:自定义filter

import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 自定义过滤器,继承OncePerRequestFilter并实现doFilterInternal方法
 */
public class Myfilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
        // 设置响应头,预防HTTP响应头缺失漏洞
        httpServletResponse.setHeader("X-Permitted-Cross-Domain-Policies", "master-only");
        httpServletResponse.setHeader("X-XSS-Protection", "1;mode=block");
        httpServletResponse.setHeader("X-Download-Options", "noopen");
        httpServletResponse.setHeader("X-Content-TYpe-OPtions", "nosniff");
        httpServletResponse.setHeader("Content-Security-Policy", "default-src 'self'");
        httpServletResponse.setHeader("X-Frame-Options", "SAMEORIGIN");

        // 过滤放行
        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }
}
 

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.Arrays;

/**
 * 自定义过滤器配置类
 */
@Configuration
public class FilterCOnfiguration {

    /**
     * 注册MyFilter到Spring Ioc容器
     * @return
     */
    @Bean
    FilterRegistrationBean<Myfilter> registrationBean() {
        FilterRegistrationBean<Myfilter> bean = new FilterRegistrationBean<>();
        bean.setFilter(new Myfilter());// 设置过滤器
        bean.setOrder(-1);// 设置优先级,数字越小优先级越高
        bean.setName("MyFilter");// 设置过滤器别名
        bean.setUrlPatterns(Arrays.asList("/*"));// 设置过滤路径
        return bean;
    }

}
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击
weixin_47083537的博客
07-28 2220
为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。至于具体的效果只能是拭目以待了,但是感觉还是有一定的效果的。 而这些HTTP响应头在我们部署 Nginx 的时候经常会被忽略掉,个人感觉这
Springboot 阻止XSS攻击
web13985085406的博客
08-02 970
写此文章的目的是为了记录一下在工作中解决的XSS漏洞问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做??,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式让我们共同进步。...
java web配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options安全响应头
lxw1005192401的博客
05-18 6943
Tomcat目录下,配置请求头 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>...
HTTP 响应头 Strict-Transport-Security 缺失漏洞
最新发布
itScholar001的博客
04-03 643
这个漏洞就是说明网站的HTTP响应头中没有设置Strict-Transport-Security,没有设置则可以通过将https自己手动改成htttp的方式进行访问。HTTP 响应头 Strict-Transport-Security 缺失漏洞。如果此时你用http去访问的话则会报403 forbidden错误。http去访问的话则会报403 forbidden错误。添加了这个之后请求的响应头就会有这一段。2.手动在代码中设置。
java怎么设置 x-xss-protection_JAVA程序猿萌新起步
weixin_33547353的博客
11-30 1257
现在JAVA很火,需求量大,就业也很容易,如果技术过硬的话月薪上万也是可以的。由于我是朝8晚5的工作压力也不是很大,所以最近准备学习下JAVA。当然不是为了跳槽,只是想拓宽下知识面,提高自我价值。既然要学习JAVA,那么编程环境总是要有的。目前的常见的就是安装JDK+eclipse。今天主要来分享下怎么搭建JDK环境吧。1.下载安装包JDK网上有很多免费的安装包,根据自己电脑配置看是下载32位的还...
HTTP响应头使用X-XSS-Protection检查 漏洞修复方案
zengliguang的专栏
07-29 1957
并不能完全解决所有的 XSS 问题,它只是提供了一种额外的防御机制。同时,及时更新浏览器和服务器软件,以修复可能存在的安全漏洞也是非常重要的。响应头HTTP 响应时,会根据其值来启用内置的 XSS 过滤器,并在检测到反射性 XSS 攻击时采取相应的措施,如清理页面或阻止页面加载等。响应头,可以在服务器的配置文件中进行相应的添加。虽然这些保护在现代浏览器中基本上不是必需的,因为网站可以实施一个强大的。),但对于尚不支持 CSP 的旧版浏览器的用户,这样,当浏览器收到带有上述。仍然可以提供一定的保护。
WEB安全防御总结一 : 响应头(X-Content-Type-Options、X-Frame-Options、X-XSS-Protection)
热门推荐
了解—学习—进步—满足
09-08 1万+
漏洞简介: 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。 修复建议: 1. 响应头中存在 X-Content-Type-Options 属性,而且 X-Content-Type-Options 属性值包含“nosniff”。 2. 检测 HTTP X-Frame-Options 字段,字段值包含 deny 或 sameorigin。 3.配置...
XssAPP开源,Xss跨站脚本攻击测试平台(JAVA开发) BY:WebSOS
mywebsos的博客
06-19 7812
XssAPP 一套针对Xss跨站脚本攻击的专业测试平台 开源日期:2016-05-29 开发者:WebSOS 开发时间:2015年下半年 开发语言:JAVA 使用技术:Spring Hibernate 反射技术 说明:本程序源码一切权益归WebSOS所有,他人不得随意修改与转卖,本程序仅做技术交流,切勿用于非法途径 链接: http://pan.baidu.com/s/1kUWVkXp 密码: 885i
java xssprotect_Java防止xss攻击
weixin_36227085的博客
02-21 237
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xmlXssEscapecn.wuzhuti.filter.XssFilterXssEscape/*REQUESTFilter类(XssFilter.java)package ...
如何在响应头中防治xss
weixin_46600931的博客
04-17 1125
请注意,虽然这些响应头可以提高安全性,但它们并不能完全防止所有的XSS攻击,你仍然需要在应用程序中实施其他的安全措施,如输入验证和适当的输出编码。在HTTP响应头中设置一些特定的安全策略可以帮助防止XSS(跨站脚本)攻击。:这个响应头可以防止浏览器基于内容猜测响应的MIME类型,从而防止某些类型的攻击。:这个响应头可以限制浏览器只加载和执行来自特定来源的脚本。函数会自动设置一些安全相关的HTTP响应头,包括上面提到的那些。:这个响应头可以启用浏览器内置的XSS过滤器。来限制浏览器只执行来自同源的脚本。
java第三课-如何防御XSS攻击与防止抓包篡改数据
shixiezhilong的博客
08-23 2390
这次学习的是接口方面的安全问题,对于日常工作比较契合,首先是XSS攻击和接口参数篡改,常见的是在问题提交中加入HTML的代码或者脚本进行操作。抓包和篡改主要是通过抓包工具fiddler对接口参数进行请求拦截和参数篡改。 对于XSS攻击的防御有很多种,这种算是比较容易的。 前端对提交的文本内容可以进行过滤以及转义。 后端通过拦截器或过滤器对请求参数进行标签转义或直接使用框架提供的API(StringEscapeUtils.escapeHtml4(value))进行过滤。 抓包和篡改...
javaxxsProtect过滤xss
05-19
java过滤xss工具,xxsProtect. 根目录XSS/bin文件夹下有所有的jar包. 根目录XSS/com/start.java文件是例子. 过滤字符串中至少要有html显示标签.
java环境变量设置_VSCode配置JAVA开发环境
weixin_39588445的博客
11-05 1779
1:给机器安装JDK、MAVEN下载JDK 下载路径:https://www.oracle.com/technetwork/java/javase/downloads/jdk11-downloads-5066655.html配置JAVA的环境变量 我的JDK在硬盘的位置:新建环境变量JAVA_HOME:D:ApplicationsJAVAjdk新建环境变量CLASSPATH:.;%JAVA_HOM...
mysql防止xss攻击_java 防止 XSS 攻击的常用方法总结
weixin_32597695的博客
01-28 401
在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里java网页程序采用 spring 防止 csrf 攻击.,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻击呢,...
Java 拦截器自定义(添加响应头
欢迎来到快乐星球
07-11 3793
JavaWeb项目报"xxx响应头缺失“漏洞的时候,后台调用各种请求地址时又没有传地址或者不想逐个进行设定请求头的时候,该怎么做?我这是用的JavaSpringBoot+layui写的Web项目。首先,感谢stone和yvioo两位大佬的分享! 参考 博客园大佬:yvioo 获取自定义请求头的方式: 再参考这位大佬:java - springboot 添加自定义拦截器 拿到HandlerInteceptor接口,重写preHandle 方法,可以实现在请求刚送达Controller之前,就进行对请求体及
java 防止 XSS 攻击的常用方法
adobe1992
09-22 1万+
1. 自己写 filter 拦截来实现,但要注意的时,在WEB.XML 中配置 filter 的时候,请将这个 filter 放在第一位. 2. 采用开源的实现 ESAPI library ,参考网址: https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API 3. 可以采用spring 里面提供的工具类来
Java】【通信安全】怎么保证http请求的安全
天天向上 Up Up Up (*^▽^*)
07-02 3167
要保证http请求的安全性,首先我们得知道,http有哪些安全隐患,再针对每个问题,寻找对策。 先有问题,才有解决方法,不要空谈技术。 假设我们的电脑上被人偷偷安装了窃听软件,或者我们使用的路由器,代理服务器被人安装了抓包软件,这样我们的ip,所有通信数据,都是可以被别人轻松捕获的。 网页源码只需打开浏览器控制台,所有人都可以看到。如果是Java代码,也可以通过反编译看到。 现在,我们的ip,通信...
后端Java开发如何防御XSS攻击
码农小胖哥
06-30 3157
跨站脚本攻击(XSS)可以让攻击者在受害者的浏览器中执行恶意脚本来修改网页内容、将用户重定向到非法网站、伪造用户登录态、窃取用户的隐私信息、甚至还能给程序开个后门等等,所以不得不防。今天就...
Java架构师第五步——HTTP协议详解,HTTP安全(二)(读书笔记)
chupeian4569的博客
06-19 108
HTTP安全 HTTP协议是不安全的,如果没有SSL做底层支持,用HTTP Basic Authentication很容易让攻击者监听并获取到用户名和密码的信息。有人说用Base64做encode,这是没用的,攻击者获取到用户名密码后用Base64来decode一下就好了,那么为什么大多数...
java -xxm -xxs
04-29
java -xxm -xxs 命令是指Java虚拟机启动参数,用于设置Java进程的内存和堆栈大小。 其中,-xxm参数用于设置最大Java堆内存大小。Java堆是存放对象实例的内存区域,当Java应用程序需要创建对象时,会在堆内存中分配空间。-xxm参数的单位是MB,可以通过指定一个整数值来设置最大堆内存大小。例如,java -xxm1024m命令就表示将Java应用程序的最大堆内存大小设置为1024MB(即1GB)。 另外,-xxs参数用于设置线程栈的大小。线程栈是每个线程私有的内存区域,用于保存线程执行时的局部变量以及方法调用的参数和返回值等信息。-xxs参数的单位也是MB,可以通过指定一个整数值来设置线程栈大小。例如,java -xxs2m命令表示将线程栈大小设置为2MB。 通过设置合适的堆内存和线程栈大小,可以优化Java应用程序的性能和稳定性。如果堆内存过小,会导致频繁进行垃圾回收,降低程序的性能;如果线程栈过小,可能会导致栈溢出等异常。因此,在设置堆内存和线程栈大小时,需要根据具体的应用程序需求、系统资源情况以及性能测试结果等进行调整。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值