我在tomcat web.xml中添加了以下代码片段以防止点击劫持.
在添加内置过滤器的部分中,我已经添加了
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
</filter>
对于过滤器映射部分,我添加了.
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
编辑并进行这两项更改后,测试页面(我试图打开目标页面的html页面<frame>)通过(无法在框架内打开目标页面).
但是apache欢迎页面给出了404新的更改.
如果我遗失任何东西,请告诉我.
可以将Tomcat 7配置为Content-Security-Policy: frame-ancestors 'self'在每个响应中插入HTTP标头,例如它可以插入其他安全相关的标头X-Frame-Options吗?