我想防止在 Vaadin 7 和 8 应用程序中的点击劫持攻击。由于 Vaadin 应用程序默认设计为可嵌入的,因此需要一些配置或代码来增加安全性。
这是我的第一个实验,它将X-Frame-Options 标头添加到每个响应中,以强制浏览器使用同源策略。
public class MyVaadinServlet extends VaadinServlet {
@Override
protected void service(HttpServletRequest request,
HttpServletResponse response) throws ServletException, IOException {
// add clickjacking prevention
response.addHeader("X-Frame-Options", "SAMEORIGIN");
super.service(request, response);
}
}
我想知道是否有针对 vaadin 应用程序的更好解决方案、我不知道的现有 vaadin 配置选项,或者此实现是否有缺点或限制。
我们的应用程序前面确实有 Apache,但我不知道在那里添加标头操作而不是将其放在应用程序本身(开发人员可以轻松地对其进行测试和更改)是否会很脆弱。