Tomcat 配置“X-Frame-Options头”
【原理】 配置http的响应头信息:属性名X-Frame-Options。
可以配置的参数有两个:
1.DENY:浏览器拒绝当前页面加载任何Frame页面。
2.SAMEORIGIN:页面只能加载入同源域名下的页面。
3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
一般选第二个参数就可以了。
方式一:每页面添加(太傻逼):
<% response.addHeader("x-frame-options","SAMEORIGIN");%>
方式二:单个项目生效:
1.在src目录下建一个包,命名为filter。在包里建类名为FrameTao。内容如下:
-
-
-
import java.io.IOException;
-
import javax.servlet.Filter;
-
import javax.servlet.FilterChain;
-
import javax.servlet.FilterConfig;
-
import javax.servlet.ServletException;
-
import javax.servlet.ServletRequest;
-
import javax.servlet.ServletResponse;
-
import javax.servlet.http.HttpServletRequest;
-
import javax.servlet.http.HttpServletResponse;
-
-
public class FrameTao implements Filter {
-
-
-
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
-
-
HttpServletRequest request = (HttpServletRequest) req;
-
HttpServletResponse response = (HttpServletResponse) res;
-
-
response.setHeader("x-frame-options", "SAMEORIGIN");
-
-
chain.doFilter(request, response);
-
-
-
public void init(FilterConfig config) throws ServletException {
-
-
-
-
-
-
2.在web.xml文件下添加以下内容:
-
-
-
<filter-name>FrameFilter</filter-name>
-
<filter-class>filter.FrameTao</filter-class>
-
-
-
<filter-name>FrameFilter</filter-name>
-
<url-pattern>/*</url-pattern>
-
-
方式三:服务器(tomcat)上所有项目生效:
tomcat目录/conf/web.xml中的搜索httpHeaderSecurity配置(低版本不支持,需Tomcat 7.0.69以上),将其前面的注释去掉即可。
-
-
<filter-name>httpHeaderSecurity</filter-name>
-
-
-
-
-
<filter-name>httpHeaderSecurity</filter-name>
-
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
-
<async-supported>true</async-supported>
-
-
-
<param-name>antiClickJackingEnabled</param-name>
-
<param-value>true</param-value>
-
-
-
<param-name>antiClickJackingOption</param-name>
-
<param-value>SAMEORIGIN</param-value>
-
-
(复检)启动服务器。
打开火狐浏览器,打开你的此项目任一网页。
右键查看元素:
转自:https://blog.csdn.net/liangpingguo/article/details/86703284
相关推荐
点击劫持:X-Frame-Options头缺失 in a frame because it set 'X-Frame-Options' to 'deny'
X-Frame-Options头缺失漏洞 修复需要ClickjackFilter.jar ,引入esapi.jar(内含ClickjackFilter)即可。
tomcat-redis-session-manager-1.2-tomcat-7-java-7tomcat-redis-session-manager-1.2-tomcat-7-java-7tomcat-redis-session-manager-1.2-tomcat-7-java-7tomcat-redis-session-manager-1.2-tomcat-7-java-7tomcat-...
开发工具 apache-tomcat-8.0.41-windows-x86开发工具 apache-tomcat-8.0.41-windows-x86开发工具 apache-tomcat-8.0.41-windows-x86开发工具 apache-tomcat-8.0.41-windows-x86开发工具 apache-tomcat-8.0.41-...
用于配置 tomcat-redis-session-manager
apache-tomcat-8.0.32-windows-x64-zip
tomcat-juli.jar和tomcat-juli-adapters.jar tomcat-juli.jar和tomcat-juli-adapters.jar
官方最新的 tomcat 版本为 apache-tomcat-6.0.45-windows-x64.rar是windows的x64位
apache-tomcat-8.5.47-windows-x64.zip
文件名写错了,此压缩文件支持tomcat8.5。是否支持8.0请自行测试,本人只测试了8.5,可以使用。压缩文件包括tomcat-redis-session-manager-...apache-tomcat-8.5.33.tar.gz,nginx-1.6.2.tar.gz也打包进去,一步到位。
apache-tomcat-6.0.53-src,apache tomcat 6.0.53的源码。 压缩包文件清单: apache-tomcat-6.0.53-src.tar.gz apache-tomcat-6.0.53-src.tar.gz.asc apache-tomcat-6.0.53-src.tar.gz.md5 apache-tomcat-6.0.53-...
Tomcat8亲测可用 tomcat-redis-session-manager的jar包 修改了tomcat-redis-session-manager源码进行的编译生成的jar包
tomcat-embed-core-8.5.23.jar
apache-tomcat-7.0.63-windows-x64.zip
tomcat-redis-session-manager-2.0.0.jar
最新版windows apache-tomcat-10.0.0-windows-x64.zip
apache-tomcat-8.0.50-windows-x64.zip,正版绿色免安装
官方原版apache-tomcat-10.0.0-M1-windows-x64.zip 64位官方原版apache-tomcat-10.0.0-M1-windows-x64.zip 64位
apache-tomcat-8.0.44-windows-x64,安装方便,比较新的版本,欢迎下载