单击劫持和缺少 http 安全标头 Vaadin

【问题标题】:Click jacking and Missing http security header Vaadin单击劫持和缺少 http 安全标头 Vaadin
【发布时间】:2020-10-21 21:44:09
【问题描述】:

我们最近请了一位安全顾问来看看我们使用 vaadin 构建的应用程序。我们仍在使用version 6。 以下是实施的建议

  • 标题中的“X-Frame-Options”。
  • Content-Security-Policy:script-src'self
  • X-Content-Type-Options:nosniff
  • X-FrameOptions:SAMEORIGIN
  • 将 Web 服务器配置为包含响应标头-X-XSS-Protection:1;mode=block

我的问题是,考虑到vaadin注重安全,vaadin是如何应对这种情况的?

on oficial documentation of vaadin 6 版本没有可用信息。 还发现了这个 solution ,但不确定它是否有效。同样在 vaadin 论坛上也没有可用的解决方案线程。

【问题讨论】:

    标签: security vaadin websecurity clickjacking vaadin6


    【解决方案1】:

    这些标题并不直接在 Vaadin 的影响范围内。 Vaadin 理论上可以将此类标头添加到它管理的响应中,但在某些情况下,它们中的一些不合适,这就是默认情况下不添加它们的原因。

    因此,我建议您配置托管环境(例如负载平衡器或应用程序服务器)以在所有相关响应中包含您想要的标头值。另一种选择是创建一个简单的 Servlet 过滤器来添加标题。 the answer that you linked to 中描述了它的一个变体。

    【讨论】:

      猜你喜欢
      • 2022-07-09
      • 2014-01-22
      • 1970-01-01
      • 2016-01-22
      • 2013-02-13
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode