欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

Tomcat 配置“X-Frame-Options头”

程序员文章站 2022-03-07 15:14:24
...

Tomcat 配置“X-Frame-Options头”

【原理】 配置http的响应头信息:属性名X-Frame-Options。
可以配置的参数有两个:
1.DENY:浏览器拒绝当前页面加载任何Frame页面。
2.SAMEORIGIN:页面只能加载入同源域名下的页面。
3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
一般选第二个参数就可以了。


方式一:每页面添加(太傻逼):

<% response.addHeader("x-frame-options","SAMEORIGIN");%>​​​​​​​

方式二:单个项目生效:
1.在src目录下建一个包,命名为filter。在包里建类名为FrameTao。内容如下:

  1.  
    package filter;
  2.  
     
  3.  
    import java.io.IOException;
  4.  
    import javax.servlet.Filter;
  5.  
    import javax.servlet.FilterChain;
  6.  
    import javax.servlet.FilterConfig;
  7.  
    import javax.servlet.ServletException;
  8.  
    import javax.servlet.ServletRequest;
  9.  
    import javax.servlet.ServletResponse;
  10.  
    import javax.servlet.http.HttpServletRequest;
  11.  
    import javax.servlet.http.HttpServletResponse;
  12.  
     
  13.  
    public class FrameTao implements Filter {
  14.  
     
  15.  
     
  16.  
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
  17.  
    //必须
  18.  
    HttpServletRequest request = (HttpServletRequest) req;
  19.  
    HttpServletResponse response = (HttpServletResponse) res;
  20.  
    //实际设置
  21.  
    response.setHeader("x-frame-options", "SAMEORIGIN");
  22.  
    //调用下一个过滤器(这是过滤器工作原理,不用动)
  23.  
    chain.doFilter(request, response);
  24.  
    }
  25.  
     
  26.  
    public void init(FilterConfig config) throws ServletException {
  27.  
    }
  28.  
     
  29.  
    public void destroy() {
  30.  
    }
  31.  
     
  32.  
    }

2.在web.xml文件下添加以下内容:

  1.  
    <!-- 设置Frame头,防止被嵌套 -->
  2.  
    <filter>
  3.  
    <filter-name>FrameFilter</filter-name>
  4.  
    <filter-class>filter.FrameTao</filter-class>
  5.  
    </filter>
  6.  
    <filter-mapping>
  7.  
    <filter-name>FrameFilter</filter-name>
  8.  
    <url-pattern>/*</url-pattern>
  9.  
    </filter-mapping>
  10.  
     

方式三:服务器(tomcat)上所有项目生效:
tomcat目录/conf/web.xml中的搜索httpHeaderSecurity配置(低版本不支持,需Tomcat 7.0.69以上),将其前面的注释去掉即可。

  1.  
    <filter-mapping>
  2.  
    <filter-name>httpHeaderSecurity</filter-name>
  3.  
    <url-pattern>/*</url-pattern>
  4.  
    <dispatcher>REQUEST</dispatcher>
  5.  
    </filter-mapping>
  1.  
    <filter>
  2.  
    <filter-name>httpHeaderSecurity</filter-name>
  3.  
    <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
  4.  
    <async-supported>true</async-supported>
  5.  
    // 以下为额外添加
  6.  
    <init-param>
  7.  
    <param-name>antiClickJackingEnabled</param-name>
  8.  
    <param-value>true</param-value>
  9.  
    </init-param>
  10.  
    <init-param>
  11.  
    <param-name>antiClickJackingOption</param-name>
  12.  
    <param-value>SAMEORIGIN</param-value>
  13.  
    </init-param>
  14.  
    </filter>

(复检)启动服务器。
打开火狐浏览器,打开你的此项目任一网页。
右键查看元素:

Tomcat 配置“X-Frame-Options头”
            
    
    博客分类: X-Frame-Options tomcat 

 

转自:https://blog.csdn.net/liangpingguo/article/details/86703284

 

 

相关标签: tomcat