1

我们最近有一位安全顾问来看看我们使用 vaadin 构建的应用程序。我们还在version 6。以下是实施的建议

  • 标题中的“X-Frame-Options”。
  • 内容安全策略:script-src'self
  • X-Content-Type-Options:nosniff
  • X-FrameOptions:SAMEORIGIN
  • 配置 Web 服务器以包含响应标头-X-XSS-Protection:1;mode=block

我的问题是,考虑到vaadin注重安全,vaadin是如何应对这种情况的?

在 vaadin 6 版本的官方文档中没有可用的信息。也找到了这个解决方案,但不确定它是否有效。同样在 vaadin 论坛上,没有可用的解决方案线程。

4

1 回答 1

3

这些标题并不直接在 Vaadin 的影响范围内。Vaadin 理论上可以将此类标头添加到它管理的响应中,但也有一些情况下它们中的一些不合适,这就是默认情况下不添加它们的原因。

出于这个原因,我建议您配置您的托管环境(例如负载平衡器或应用程序服务器)以在所有相关响应中包含您想要的标头值。另一种选择是创建一个简单的 Servlet 过滤器来添加标题。您链接到的答案中描述了一种变体。

于 2020-07-01T12:59:02.027 回答