【绿盟】检测到目标Strict-Transport-Security响应头缺失
1.问题展示
项目安全扫描,扫到以下问题。
检测到目标URL存在客户端(JavaScript)Cookie引用
检测到目标Strict-Transport-Security响应头缺失
检测到目标Referrer-Policy响应头缺失
检测到目标X-Permitted-Cross-Domain-Policies响应头缺失
检测到目标X-Download-Options响应头缺失
点击劫持:X-Frame-Options未配置
2. 解决问题
设置统一过滤器,过滤所有请求,设置以上响应头,即可解决问题。
~~~java
/*** @author ZQQ* @version 1.0* @date 2021/9/22 15:54* @desc :*/
@WebFilter(urlPatterns = "/*", filterName = "responseHeadFilter")
public class ResponseHeadFilter implements Filter {@Overridepublic void init(FilterConfig filterConfig) throws ServletException {}public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException, IOException {//增加响应头缺失代码HttpServletRequest req=(HttpServletRequest)request;HttpServletResponse res=(HttpServletResponse)response;res.addHeader("X-Frame-Options","SAMEORIGIN");res.addHeader("Referrer-Policy","origin");res.addHeader("Content-Security-Policy","object-src 'self'");res.addHeader("X-Permitted-Cross-Domain-Policies","master-only");res.addHeader("X-Content-Type-Options","nosniff");res.addHeader("X-XSS-Protection","1; mode=block");res.addHeader("X-Download-Options","noopen");res.addHeader("Strict-Transport-Security","max-age=63072000; includeSubdomains; preload");//处理cookie问题Cookie[] cookies = req.getCookies();if (cookies != null) {for (Cookie cookie : cookies) {String value = cookie.getValue();StringBuilder builder = new StringBuilder();builder.append(cookie.getName()+"="+value+";");builder.append("Secure;");//Cookie设置Secure标识builder.append("HttpOnly;");//Cookie设置HttpOnlyres.addHeader("Set-Cookie", builder.toString());}}chain.doFilter(request, response);}@Overridepublic void destroy() {}
}
~~~
【绿盟】检测到目标Strict-Transport-Security响应头缺失相关推荐
- 绿盟检测到目标主机可能存在缓慢的HTTP拒绝服务攻击,解决过程
今天做了一个等保网站,客户使用绿盟进行安全测评,由于在测评前,我已使用丹靘测试进行了免费检测,所以信心十足,结果,果然连一条低危风险都没有出,出了一条:检测到目标主机可能存在缓慢的HTTP拒绝服务攻击 ...
- 【绿盟】检测到目标Referrer-Policy响应头缺失
问题展示: 项目进行安全扫描 遇到以下低危的风险需要处理~ 响应头缺失 需要更新后台文件 作为一枚前端菜鸟~我就这样开始了摸索的道路 因为项目是用tomcat部署到服务器上的 所以我们需要 ...
- 为什么我们要使用HTTP Strict Transport Security?
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 0×01. Freebuf百科: ...
- 渗透测试web未设置http头 Strict Transport Security
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 0×01. Freebuf百科: ...
- chrome去除htst_HTTP Strict Transport Security实战详解
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 0×01. Freebuf百科: ...
- HTTP Strict Transport Security (HSTS) in ASP.NET Core
本文是<2020年了,再不会HTTPS就老了>的后篇,本文着重聊一聊HTTP Strict Transport Security协议的概念和应用. 启用 HTTPS 还不够安全 现在很多站 ...
- HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一)
// HTTP strict transport security (HSTS) is defined in // http://tools.ietf.org/html/ietf-websec-str ...
- html增加hsts头,开启HSTS(HTTP Strict Transport Security)
开启HSTS(HTTP Strict Transport Security) HSTS(HTTP Strict Transport Security) 的作用就是,当你使用了一次之后,浏览器就会记住这 ...
- HTTP Strict Transport Security 导致的307 http自动跳转https
今天遇到一个 由于nginx设置了header:Strict-Transport-Security导致url自动跳转为https的问题. 记录如下: 开发者模式下可以看到307及hsts类提示信息 可 ...
最新文章
- 12 个 Pandas 数据处理高频操作
- 介绍下Nginx 反向代理与负载均衡
- Screen Painter 程序设计
- 一加7 Pro在京东开启预约:人数超34万
- hadoop---Java 网络IO编程总结BIO、NIO、AIO
- nosql的base和cap_关系型数据库遵循ACID规则 NoSQL 数据库BASE CAP
- 计算机控制电机启动接线图,电机控制线路图大全,赶紧收藏
- PSENet原理与代码解析
- IO端口和IO内存映射【waitting】
- 关闭 自带日志_再也不是样子货! 丰田86改装日志(3)
- 如何压缩动态图片大小?gif图太大了怎么压缩?
- java.lang.IllegalStateException: Already resumed, but proposed with update xxxx
- EOJ 3265 七巧板
- 特斯拉第二季度电动汽车销量下降近 18%
- 【DaVinci Developer专题】-38-Exclusive Area介绍+配置
- Failed at step EXEC spawning /var/xxx/xxx-1.0-SNAPSHOT.jar: Text file busy
- 小红书种草和小红书种草笔记
- 如何找到一个好的学习率
- 赛扬处理器_两款还未官宣的10代赛扬出现在海外电商平台,赛扬首次拥有4MB三级缓存...
- 数据结构题集(严书)查找 常见习题代码