安全团队测试了我们的应用程序并发现了以下警告:
HTTP 响应中不包含 X-Frame-Options 标头以防止“ClickJacking”攻击。
我们在我们的应用程序中使用 spring boot,但我们不使用 spring security。我们使用我们的自定义安全机制。
有没有办法将此标头添加到所有响应中?
问问题
7651 次
1 回答
3
您可以在此处创建自定义过滤器并设置标题:
public class XFrameFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest httpRequest,
HttpServletResponse httpResponse,
FilterChain filterChain) throws ServletException, IOException {
httpResponse.setHeader("X-FRAME-OPTIONS", "DENY");
filterChain.doFilter(httpRequest, httpResponse);
}
}
于 2018-02-16T09:01:56.777 回答