修復web應用程序的antiClickJacking漏洞

Question

我有兩個在Apache Tomcat服務器上運行的Web應用程序。我們的安全團隊發現了兩個漏洞。

85582 - Web應用程序可能受到點擊劫持

我已經通過一些網站了，因爲我們要解決這個問題。有人說，我們可以與客戶端或服務器端預防。我明白，對於服務器端的預防，我們需要在tomcat web.xml文件中添加「HTTP Header sercurity Filter」。

任何人都可以告訴我需要爲此選擇哪種方式？ 如果我需要去添加過濾器，是單獨足夠還是我需要做額外的事情？

對此的任何幫助將不勝感激。 謝謝。

Answer 1

有幾種方法可以緩解漏洞，如clickjacking。你希望使用哪種技術？即使Tomcat的HTTP Header Security Filter有很多選擇。通常，通過應用程序中的XSS錯誤或其他嚴重的應用程序問題（或相關產品，例如頁面上託管的廣告），可以實現點擊劫持。

但是，啓用HTTP標頭安全篩選器是不夠的。你的應用程序也必須是安全的。 Web瀏覽器的反click點功能（僅使用這些標題啓用）是服務器的安全網絡，對於發送給瀏覽器的內容不太在意。您需要確保沒有例如應用程序中的XSS漏洞也是如此。