0

我在 Apache Tomcat 服务器上运行了两个 Web 应用程序。我们的安全团队发现了两个漏洞。

85582 - Web 应用程序可能容易受到点击劫持

我已经浏览了一些网站,因为我们必须解决这个问题。据说我们可以使用客户端或服务器端预防。我知道为了服务器端的预防,我们需要在 tomcat web.xml 文件中添加“HTTP Header sercurity Filter”。

谁能告诉我需要为此选择哪种方式以及如何选择?如果我需要添加过滤器,仅此一项就足够了,还是我需要做任何额外的事情?

对此的任何帮助将不胜感激。谢谢。

4

1 回答 1

0

有几种方法可以缓解点击劫持等漏洞。您希望使用哪种技术?甚至 Tomcat 的HTTP Header Security Filter也有很多选择。通常,点击劫持是由应用程序中的 XSS 错误或其他一些严重的应用程序问题(或相关产品,例如页面上托管的广告)造成的。

然而,启用 HTTP 标头安全过滤器是不够的。您的应用程序也必须是安全的。Web 浏览器的反点击劫持功能(仅使用这些标头启用)为不关心发送到浏览器的内容的服务器提供了安全网。您还需要确保您的应用程序中没有例如 XSS 漏洞。

于 2016-11-16T21:52:37.140 回答