0

我正在研究可用于防止 grails 应用程序中的点击劫持的不同解决方案。其中一种解决方案是使用 X-Frame。所以,我找到了一个 grails 插件X-Frame-Options Plugin,作者是mrhaki

它符合我添加响应标头的目的

X-Frame:拒绝

对每一个回应。伟大的!

我读到有一个现代解决方案 - Content-Security-Policy 标头。我无法为我的 Grails 应用程序配置它。有人可以帮忙吗?

4

1 回答 1

2

X-Frame-Options 插件很简单,它插入了一个 servlet 过滤器以向请求添加标头。对于您的情况,我建议您创建自己的 servlet 过滤器以添加 Content-Security-Policy 标头。

您可以在此处查看如何添加标头的示例: https ://github.com/mrhaki/grails-x-frame-options-plugin/blob/df230a9f01cd2e1c6ac4be6d9eac41fbcae48293/src/main/groovy/com/mrhaki/grails/plugin /xframeoptions/web/XFrameOptionsFilter.groovy#L69

另一种选择是使用应用程序前面的 Web 服务器(apache httpd 或 nginx)来添加标头。

于 2018-03-19T16:37:14.053 回答