修复 web 应用程序的 antiClickJacking 漏洞

【问题标题】:Fix for antiClickJacking vulnerability for web application修复 web 应用程序的 antiClickJacking 漏洞
【发布时间】:2016-11-11 05:46:41
【问题描述】:

我在 Apache Tomcat 服务器上运行了两个 Web 应用程序。我们的安全团队发现了两个漏洞。

85582 - Web 应用程序可能容易受到点击劫持

我浏览了一些网站,因为我们必须解决这个问题。据说我们可以使用客户端或服务器端预防。我知道为了服务器端的预防,我们需要在 tomcat web.xml 文件中添加“HTTP Header sercurity Filter”。

谁能告诉我需要为此选择哪种方式以及如何选择? 如果我需要添加过滤器,仅此一项就足够了,还是我需要做任何额外的事情?

对此的任何帮助将不胜感激。 谢谢。

【问题讨论】:

  • 谢谢@ChristopherSchultz。我正在尝试完全找到这个主题的新方法。我的问题是,如果我在 tomcat 中使用“HTTP 标头安全过滤器”,仅此一项就足够了吗?
  • 感谢@ChristopherSchultz 提供信息

标签: tomcat clickjacking


【解决方案1】:

有多种方法可以缓解点击劫持等漏洞。您希望使用哪种技术?甚至 Tomcat 的HTTP Header Security Filter 也有很多选择。通常,点击劫持是由应用程序中的 XSS 错误或其他一些严重的应用程序问题(或相关产品,例如页面上托管的广告)造成的。

但是,启用 HTTP 标头安全过滤器是不够的。您的应用程序也必须是安全的。 Web 浏览器的反点击劫持功能(仅使用这些标头启用)为不关心发送到浏览器的内容的服务器提供了安全网。您需要确保没有例如您的应用程序中也存在 XSS 漏洞。

【讨论】:

    猜你喜欢
    • 2018-11-24
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-11-14
    • 1970-01-01
    • 2013-02-06
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode