在Tomcat服务器中添加X-Frame-Options响应头(用于防御点击劫持攻击)

已于 2025-07-31 14:24:40 修改
阅读量140 收藏
点赞数 4
CC 4.0 BY-SA版权
文章标签: tomcat 服务器 java 安全
于 2025-07-31 14:20:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012605034/article/details/149804966

通过Filter

步骤1:编写Filter类
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

// 若使用Servlet 3.0+注解,可省略web.xml配置(推荐)
@WebFilter(urlPatterns = "/*") 
public class XFrameOptionsFilter implements Filter {
    
    // 可配置策略(DENY/SAMEORIGIN/ALLOW-FROM:uri),此处默认SAMEORIGIN
    private String policy = "SAMEORIGIN";

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 可选:从web.xml或环境变量读取策略(灵活配置)
        String policyParam = filterConfig.getInitParameter("policy");
        if (policyParam != null && !policyParam.isEmpty()) {
            policy = policyParam;
        }
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) 
            throws IOException, ServletException {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setHeader("X-Frame-Options", policy); // 添加响应头
        chain.doFilter(request, response); // 传递请求
    }

    @Override
    public void destroy() {
        // 清理资源(可选)
    }
}

步骤2:WEB-INF/web.xml中手动注册Filter:

<web-app ...>
  <filter>
    <filter-name>XFrameOptionsFilter</filter-name>
    <filter-class>com.yourpackage.XFrameOptionsFilter</filter-class>
    <!-- 可选:动态设置策略(如DENY) -->
    <init-param>
      <param-name>policy</param-name>
      <param-value>DENY</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>XFrameOptionsFilter</filter-name>
    <url-pattern>/*</url-pattern> <!-- 匹配所有URL -->
  </filter-mapping>
</web-app>

验证:

Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】
身后是非的博客
03-14 1万+
X-Frame-Options Header未配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证 背景 最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header未配置 (低危) Web安全漏洞,下面为具体解决方法 漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
总之,X-Frame-Options是防止点击劫持的有效手段,它通过限制页面在iframe中的加载,保护了网站的安全性。对于不同的服务器环境,都有相应的配置方法来设置这一响应头,以确保内容不被非法嵌入。
点击劫持:X-Frame-Options 未配置
渗透之路,攻防之间皆学问
10-12 3245
Clickjacking(点击劫持)是一种安全漏洞,通常出现在网站未配置适当的安全标头时,该漏洞由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年提出的。当网站未配置X-Frame-Options头时,它可能受到点击劫持攻击的威胁。这意味着攻击者可以在其恶意网站中将目标网站嵌套到iframe中,并引导用户执行未经授权的操作,使用户不知情地与目标网站互动。
X-Frame-Options响应头点击劫持
道阻且长,行则将至
02-21 8468
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options 未配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
tomcat 配置修复X-Frame-Options 漏洞方法
小菜鸟的博客
04-12 3087
给您的网站添加X-Frame-Options响应头,赋值有如下三种: DENY:无论如何不在框架中显示; SAMEORIGIN:仅在同源域名下的框架中显示; ALLOW-FROM uri:仅在指定域名下的框架中显示。 具体配置:在tomcat/conf/web.xml中配置下面代码: web.xml搜索httpHeaderSecurity,首先放开httpHeaderSecurity的注释 然后添加部分语句,下面是完整配置: <filter> <filter-na..
X-Frame-Options 响应头配置避免点击劫持攻击
追梦猪的博客
10-08 780
服务器未设置X-Frame-Options响应头,易受到点击劫持攻击设置X-Frame-Options响应头它有三个可选的值:DENY SAMEORIGIN ALLOW-FROMorigin当值为DENY时,浏览器会拒绝当前页面加载任何frame页面;若值为SA...
X-Frame-Options响应头配置详解
热门推荐
BUse的博客
04-12 3万+
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking)攻击。 X-Frame-Options三个参数: 1、DENY 表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。 2、SAMEORIGIN 表示该页面可以在
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat
huangbaokang的博客
02-14 3253
发现项目中存在 X-Frame-Options 低危漏洞: 使用 X-Frame-Options X-Frame-Options 有三个值: DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri:表示该页面可以在指定来源的 frame 中展示。 换一句话说,...
Tomcat 配置“X-Frame-Options头”
oatmeal2015的博客
06-24 1547
【原理】 配置http的响应头信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每页面添加(太傻逼): <% response.addHead...
关于X-Frame-Options 响应头配置避免点击劫持攻击的问题整理
夜阑吹雨的博客
05-11 4063
2018.05.07 客户反映学校网站被扫描到 X-Frame-Options Header未配置漏洞经查询得到的解决方案一:配置 Apache配置 Apache 的httpd.conf 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到配置中:Header always append X-Frame-Options SAMEORIGIN配置位置:修改两个服务器,制作...
X-Frame-Options相关文件
08-27
描述中提到的"X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'",意味着在某个特定的场景下,一个网页没有设置X-Frame-Options头,或者设置了值为'deny'的X-Frame-Options头,这表明...
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
**X-Frame-Options** 是一个重要的HTTP响应头,它用于防止**点击劫持(Clickjacking)**攻击点击劫持是一种网络攻击技术,攻击者通过在目标网页上覆盖一个透明的iframe,诱使用户在不知情的情况下与iframe中的内容...
X-Frame-Options头缺失漏洞修复-esapi.zip
07-17
在部署了ClickjackFilter之后,服务器将自动为响应添加适当的X-Frame-Options头,有效防止点击劫持攻击。不过,需要注意的是,虽然ESAPI提供了强大的安全功能,但它也有一定的性能开销。因此,在生产环境中,应谨慎...
常见的中间件漏洞(tomcat,weblogic,jboss,apache)
weixin_74124665的博客
07-31 388
tomcat默认的conf/server.xml中配置了2个Connector,一个为 8080 的对外提供的HTTP协议端口, 另 外⼀个就是默认的 8009 AJP协议端口,两个端口默认均监听在外网ip。设置web服务测试开启: 域结构 -> base-domain -> 高级 -> 启动Web服务测试页。同样先开启环境,将哥斯拉生成的jsp木马文件,压缩成zip文件,再将后缀改成war。因为我们上传的是zk.war文件,所以url写zk/zk.jsp。然后点部署,安装,上载文件。
Tomcat,WebLogic等中间件漏洞实战解析
最新发布
qq_74265615的博客
07-31 845
首先启动环境,这里所有的漏洞都是在vulhub中的然后去访问我们的网站点击打开哥斯拉去生成一个jsp木马然后打开抓包,刷新一下页面,修改put方法将我们的木马上传一下,这里需要在jsp后加一个/,来绕过对jsp文件的上传限制然后去访问一下我们上传的1.jsp可以看到访问成功,我们去用哥斯拉链接一下后台弱口令部署war包这里需要启动tomcat8,我们cd到tomcat8中启动一下环境然后去访问一下通过弱口令我们登录到后台,点击managerapp,账号密码都为tomcat
Tomcat 服务器日志
liweiweili126的博客
07-30 645
System.outSystem.err与Tomcat的管理应用相关的日志。是Tomcat内置的虚拟主机管理工具(通过访问),用于管理虚拟主机(如添加、删除、配置虚拟主机)。与Tomcat默认虚拟主机(localhost)相关的应用程序日志。Tomcat中“虚拟主机”用于隔离不同域名/应用的部署,localhost是默认虚拟主机。localhostlocalhost与Tomcat的manager管理应用相关的日志。manager是Tomcat内置的应用管理工具(通过。
tomcat隐藏400报错信息
大虾别跑
07-31 102
摘要:针对Tomcat安全漏洞导致的HTTP 400错误,开发人员尝试通过添加错误页面但未实现跳转。最终通过在Nginx配置中新增关键指令解决:1)配置upstream负载均衡集群;2)在server块中设置proxy_intercept_errors on捕获400错误;3)使用error_page指令将400错误重定向至指定URL(error-page.html)。该方案通过代理层拦截并处理错误,避免了直接修改Tomcat配置,成功实现了错误页面的自动跳转功能。tomcat修复400错误跳转
Tomcat
weixin_74812184的博客
07-31 251
tomcat是开源的、轻量级的 Web 服务器和 Servlet 容器。nginx处理前端数据,tomcat处理后端数据。客户端请求到达。:如果是请求.html.css.js, 图片等静态文件,Nginx 直接高效地返回,不打扰后端。:如果是请求需要执行 Java 代码的动态内容(如/api/.jsp, 特定路径),Nginx 根据配置将请求并到后端的。:Tomcat 接收到代理请求,由相应的 Servlet 或 JSP 执行业务逻辑,访问数据库等,生成动态响应(HTML/JSON/XML)。
【Apache Tomcat
m0_72516377的博客
07-28 691
Tomcat(全称 Apache Tomcat)是由 Apache 软件基金会开发和维护的一款 开源的 Web 服务器与 Servlet 容器,用于运行基于 Java 的 Web 应用程序。它广泛应用于中小型企业和开发测试环境中,是学习和部署 Java Web 的首选服务器
tomcat X-Frame-Options响应头配置允许在所有来源的frame中展示
07-27
要配置Tomcat的X-Frame-Options响应头允许在所有来源的frame中展示,你可以按照以下步骤操作: 1. 打开你的Tomcat服务器上的`web.xml`文件,该文件位于Tomcat安装目录下的`conf`文件夹中。 2. 在`web.xml`文件中找到以下配置: ```xml <security-constraint> ... </security-constraint> ``` 3. 在该配置块中添加以下内容: ```xml <init-param> <param-name>httpHeaderSecurity</param-name> <param-value> <add name="X-FRAME-OPTIONS" value="ALLOW-FROM http://example.com"/> </param-value> </init-param> ``` 在`value`属性中,将`http://example.com`替换为你希望允许展示frame的来源URL。如果你希望允许所有来源的frame展示,可以将`value`属性设置为`ALLOWALL`。 4. 保存并关闭`web.xml`文件。 5. 重新启动你的Tomcat服务器。 这样,Tomcat就会在响应头添加X-Frame-Options头信息,允许在所有来源的frame中展示。请注意,X-Frame-Options头信息是一种用于防止点击劫持攻击安全措施,允许所有来源的frame展示可能会增加安全风险,请根据实际情况谨慎配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值