jboss版本:jboss-6.1.0.Final
系統:業務+平臺兩套,平臺的代碼沒有不能改
問題:系統發現安全問題,(“Content-Security-Policy”頭缺失或不安全;“X-Content-Type-Options”頭缺失或不安全;“X-Content-Type-Options”頭缺失或不安全)
詳情:由于發現了問題找到了兩種解決方式:
第一種是增加過濾器,在過濾器上新增HttpServletResponse訊息頭,但是由于平臺代碼改不了所以暫不考慮通過過濾器解決;
第二種方式是通過改組態檔:本地是tomcat,所以我修改了tomcat的組態檔,是可以加上訊息頭的;
解決辦法如下:
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
<async-supported>true</async-supported>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
------------------------------------------------
但是由于正式環境是采用jboss,我覺得應該是 server\default\deploy\jbossweb.sar 這個目錄下配置web.xml能得以解決。
但是我不知道怎么在jboss中配置HttpServletResponse,網上找了一下午,發現jboss7的有解決方法:通過配置standalone.xml這個檔案,但是jboss6沒有,我也嘗試過把配置復制進6的組態檔但是并沒有什么用。
-----------------------------------------------
我想問下jboss中如何配置請求頭呢?或者說我該如何解決該安全問題?
uj5u.com熱心網友回復:
jboss配置回應頭,效果如下
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/246254.html
標籤:Web 開發
上一篇:java求和數值的回傳