http响应头中X-Frame-Options的作用及危害
目标服务器没有返回一个X-Frame-Options头。
攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。
添加X-frame-options响应头。
赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
我用的是拦截器
import javax.servlet.*;
import java.io.IOException;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;/*** 拦截器-配置响应头部 X-Frame-Options* @author potato* @date 2021/9/8 11:04*/
@WebFilter(filterName = "frameFilter", urlPatterns = "/*")
public class FrameConfig implements Filter {public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {//必须HttpServletRequest request = (HttpServletRequest) req;HttpServletResponse response = (HttpServletResponse) res;//实际设置response.setHeader("X-Frame-Options", "SAMEORIGIN");
// response.setHeader("X-Frame-Options", "DENY");//调用下一个过滤器(这是过滤器工作原理,不用动)chain.doFilter(request, response);}public void init(FilterConfig config) throws ServletException {}public void destroy() {}
}
http响应头中X-Frame-Options的作用及危害相关推荐
- 取出响应头中包含多个set-cookie的值
//得到响应头中返回的所有信息,以key-value的形式保存 Map<String, List<String>> heads = httpURLConnection.getH ...
- nginx/tengine设置响应头中的cookie属性
修改cookie属性: 版本一: header_filter_by_lua 'local cookies = ngx.header.set_cookieif cookies thenif type(c ...
- 响应头中content-type常用的类型有哪些?
响应头中content-type常用的类型有哪些? (记住) 1.文本类型 text/plain 2.html类型 text/html 3.css类型 text/css 4.js类型 applicat ...
- http请求头中Referer的含义和作用
http请求头中Referer的含义和作用 别人写好了,链接过去看看吧,出门左转. 记得房号不迷路 02房 01房 三人行必有我师焉,其实两人行也有我师焉--
- 理解http响应头中的Date和Age
Date:Date头域表示消息发送的时间,时间的描述格式由rfc822定义.例如,Date: Mon, 04 Jul 2011 05:53:36 GMT. Age:当代理服务器用自己缓存的实体去响应请 ...
- php accesscontrolalloworigin,php – Access-Control-Allow-Origin没有显示在codeigniter的响应头中...
我的Codeigniter文件说 $CI->output->set_header("Access-Control-Allow-Origin: *"); $CI-> ...
- java 标注 json_java – 注释资源以生成JSON,但在响应头中返回“text/plain”
嗯,你指的链接说只有REQUESTS才是真的. 因此,您只能接受纯文本,但可以随意生成您想要的内容. 编辑尝试使用类似的代码注册自定义responsefilter(也许你已经做过了吗?): @Prov ...
- 怎么隐藏响应头中的server和X-Powered-By?
根据自己的服务器来解决回答这个问题: 去除server中的详细信息: apache: 找到你的配置文件http.conf 找到下面两个参数后按照下面修改: ServerSignature Off Se ...
- SpringBoot2.3 修改响应头、添加更新token、解决在过滤器中修改失败
前言 使用Spring Boot开发项目的过程中,难免会遇到向响应头中写入一些信息,例如更新了的token,用户详情等信息.在请求头中添加,请求时就可以通过过滤器,拦截器等验证或者获得请求头传递的信息 ...
最新文章
- 随机查询N条记录MySQL、SQLServer、Oracle、postgreSQL
- Laravel框架学习 -- php artisan down/up
- 【干货】Linux 网卡绑定的相关知识和技巧
- 蚂蚁金服与阿里云宣布启动“蚂云计划”
- SAP 电商云 Spartacus UI 点了 Shipping Method 之后的执行逻辑
- iphone按钮圆角的问题
- LGTM,XGBOOST,LIGHTGBM
- apple watch怎么改铃声
- 开发中的技术选型调研总结
- 嵌入式开发基本环境搭建---ubuntu
- python opencv 分类白天与夜景视频
- 右键新增文件/文件夹-打开方式
- lab值意义_色差仪lab值含义是什么?
- 求的带权图最小生成树的Prim算法和Kruskal算法
- pands 画图 调整大小_保安10年苦练画图终成大神,用电脑自带的画图软件创作出惊人作品...
- 腾讯云安全隐私计算通过 CFCA 评测,再获国家级认可
- 基于互联网+的智能机器人管家
- 陈天桥, 我这五年忍住不做动作
- 中国NTP服务器地址
- MATLAB 二值图像中的白色变为彩色
热门文章
- python cv2 轮廓的包络 面积_Python + Opencv2 实现轮廓提取,轮廓区域面积计算
- Astro Panel Pro for Mac - ps天文景观插件 支持ps2021
- Mac电脑如何输入command(⌘)、option(⌥)、shift(⇧)等特殊符号
- blob没权限 ie_vuerouter 源码和动态路由权限分配
- 《信息学奥赛一本通》1283:登山
- c语言输出各种图形主函数咋写,C语言图形函数介绍篇
- php mysql 连接不上_php连接不上MySQL问题解决办法_PHP教程
- C++设计模式-观察者模式
- QML笔记-4中方式运行qml文件
- C++ opengl 纹理生成