【Java】解决安全漏洞

1. X-Frame-Options Header Not Set

HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
res.setHeader("X-Frame-Options", "SAMEORIGIN");
chain.doFilter(req, res);
1
2
3
4

三种配置：

	X-Frame-Options: DENY （不允许在 frame 中展示，在相同域名的页面中嵌套也不允许）

	X-Frame-Options: SAMEORIGIN（该页面可以在相同域名页面的 frame 中展示）

	X-Frame-Options: ALLOW-FROM  uri（页面可以在指定来源的 frame 中展示 ）
1
2
3
4
5

2. X-Content-Type-Options Header Missing

    防止扫面器判断文档类型在头部加header("X-Content-Type-Options:nosniff")
   1

HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
res.setHeader("X-Content-Type-Options", "Options:nosniff");
chain.doFilter(req, res);
1
2
3
4

3. Cookie no HttpOnly Flag
   当检测到跨站脚本攻击 (XSS)时，浏览器将停止加载页面。

HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
res.setHeader("X_XSS_Protection", "1;mode=block");
chain.doFilter(req, res);
1
2
3
4

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>


0  -------  禁止XSS过滤。

1  ------- 启用XSS过滤（通常浏览器是默认的）。 如果检测到跨站脚本攻击，浏览器将清除页面（删除不安全的部分）。

1;mode=block  ------- 启用XSS过滤。 如果检测到攻击，浏览器将不会清除页面，而是阻止页面加载。

1; report=<reporting-URI>  (Chromium only)  
启用XSS过滤。 如果检测到跨站脚本攻击，浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告。
1
2
3
4
5
6
7
8
9
10
11
12
13
14