点击劫持:X-Frame-Options未配置
解决方案:设置X-Frame-Options参数即可
具体操作步骤如下:
在上面filter基础上添加即可解决
httpResp.addHeader("x-frame-options","DENY");
附上源码:
package com.sinosoft.fis.util;import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;/*** 功能描述:* <p>* 1.Cookie 设置 httpOnly属性 Cookie * 2.设置 httpOnly属性防止js读取cookie* </p>** @author gblfy*/
public class CookieHttpOnlyFilter implements Filter {public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException {if (!(request instanceof HttpServletRequest)) {chain.doFilter(request, response);return;}HttpServletRequest httpReq = (HttpServletRequest) request;HttpServletResponse httpResp = (HttpServletResponse) response;Cookie[] cookies = httpReq.getCookies();if (cookies != null) {Cookie cookie = cookies[0];if (cookie != null) {HttpSession session = httpReq.getSession();if (session != null) {String sessionId = session.getId();// http设置httpResp.addHeader("Set-Cookie", "JSESSIONID=" + sessionId + "; Path=/fis; HttpOnly");httpResp.addHeader("x-frame-options","DENY");
// httpResp.addHeader("x-frame-options","SAMEORIGIN");// https设置
// httpResp.addHeader("Set-Cookie", "JSESSIONID=" + sessionId
// + "; Path=/admin;Secure; HttpOnly");}}}chain.doFilter(httpReq, httpResp);}public void destroy() {}public void init(FilterConfig filterConfig) throws ServletException {}}谷歌测试效果图:
漏洞参考连接:
https://www.cnblogs.com/wdnnccey/p/6476518.html
点击劫持:X-Frame-Options未配置相关推荐
- html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段.攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的ifram ...
- 点击劫持漏洞原理及利用包含修复建议
今天群里有人问如何查看是否存在点击劫持漏洞,我们首先了解下漏洞是如何产生的,点击劫持漏洞是因为网站未对referer来源进行验证导致的. 具体测试及利用的话我们可以用iframe制作一个透明标签在上面 ...
- X-Frame-Options响应头防点击劫持
文章目录 前言 点击劫持 恶意转账 刷点击量 防护手段 HTTP响应头 实际防护效果 漏洞的检测 HTTP标题 X-XSS-Protection 前言 在一些漏扫设备中经常会扫出一个低风险问题--&q ...
- web 点击劫持 X-Frame-Options
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击.这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的. 它是通过覆盖不可见的框架误导受害者点击. 虽 ...
- Web安全之点击劫持(ClickJacking)
目录 iframe覆盖 直接示例说明 解决办法 Apache配置: nginx配置: IIS配置: 图片覆盖 示例 解决办法 总结 点击劫持(ClickJacking)是一种视觉上的欺骗手段.大概有两 ...
- Web安全之点击劫持
Web安全之点击劫持文章,原文链接:http://www.cnblogs.com/lovesong/p/5248483.html Web安全之点击劫持(ClickJacking) 点击劫持(Click ...
- iframe优缺点、X-Frame-Options(如何防止点击劫持、设置页面是否能作为iframe嵌套)、iframe长轮询和应用场景
目录 iframe优缺点 优点 缺点 为什么尽量少用iframe iframes阻塞页面加载,影响网页加载速度 唯一的连接池 解决 iframe应用场景 iframe长轮询 iframe跨域使用 防嵌 ...
- node-npm安全性插件helmet(防护包含点击劫持、xss、嗅探攻击...)
helmet.js 基于node-express的一款安全防护中间件,可以通过设置各种HTTP标题来帮助您保护您的Express应用程序. 一.安装 首先运行 npm install helmet - ...
- 点击劫持ClickJacking
原文:https://beenle-xiaojie.github.io/2019/01/07/ClickJacking/ 引言 当我们的页面嵌入到一个iframe中时,安全测试提出一个于我而言很新鲜的 ...
- X-Frame-Options(点击劫持)
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段.攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的ifram ...
最新文章
- [YY题]HDOJ5288 OO’s Sequence
- 跨境电商自建站后台系统原型rp_Shoptago---跨境电商平台又一个新选择
- php 统计一周数据,如何获取本周、上周、本月、上个月数据的起止时间 PHP
- Day 1 用户交互
- Silverlight 4新控件PivotViewer介绍
- 为什么word下面有红线_这4个Word细节不做好,老板看了都想骂人!赶紧记下来
- bzoj2440:[中山市选2011]完全平方数
- ADOQUERY,CLIENTDATASET,ADOSTOREPROC执行存储过程【多种方法】
- [量化学院]机器学习有哪些常用算法
- 什么是IS-IS中间系统到中间系统?网工、运维必看
- 单片机(STM32)内部RC振荡器误差时间到底有多少
- html日历页面节假日_基于jquery实现可查询节假日万年历代码
- Redis集群单点故障:corrupted cluster config file.
- activity深入学习
- web.xml不同版本的头
- Linux编写脚本nsum求和,shell脚本学习与总结
- 截面数据 缺少行业风险
- 求n的阶乘问题。输入一个正整数n,输出n!
- 在Windows10操作系统中任务栏的网络图标消失不见了该怎么办呢
- 还在羡慕微信/微博的图片处理?-android酷炫图片处理(下)