Step1 配置Tomcat

step1.1 查看是否已配置目标的HTTP网络安全头

  • 方式1 – Tomcat / conf/web.xml
cat /opt/myTomcat/conf/web.xml | grep --color=auto  -C 10 -i "httpHeaderSecurity"

  • 方式2 查看Tomcat的任一Web HTTP网页/请求

step1.2 确认Tomcat服务器中(catalina.jar)是否存在HttpHeaderSecurityFilter类

[root@hostName testUser]# jar -tf /opt/myTomcat/lib/catalina.jar | grep -i "HttpHeaderSecurityFilter"

org/apache/catalina/filters/HttpHeaderSecurityFilter$XFrameOption.class

org/apache/catalina/filters/HttpHeaderSecurityFilter.class

step1.3 利用HttpHeaderSecurityFilter为Tomcat配置全局的HTTP安全响应头

注:配置后,Tomcat会自动加载新的配置,故 无需重启Tomcat

vi /opt/myTomcat/conf/web.xml

(文件内加入如下配置)
  • SAMEORIGIN 版配置
<filter>

      <filter-name>httpHeaderSecurity</filter-name>

      <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>

      <async-supported>true</async-supported>

      <init-param>

        <param-name>antiClickJackingEnabled</param-name> <!-- X-Frame-Options 默认(DENY) -->

        <param-value>true</param-value>

      </init-param>

      <init-param>

        <param-name>antiClickJackingOption</param-name> <!-- X-Frame-Options 默认(DENY) - org.apache.catalina.filters.HttpHeaderSecurityFilter 的内部枚举类 enum XFrameOption { DENY("DENY"),SAME_ORIGIN("SAMEORIGIN"),ALLOW_FROM("ALLOW-FROM"); } -->

        <param-value>SAMEORIGIN</param-value>

      </init-param>

	  <init-param>

        <param-name>blockContentTypeSniffingEnabled</param-name> <!-- X-Content-Type-Options 默认: true(nosniff) -->

        <param-value>true</param-value>

      </init-param>

	  <init-param>

        <param-name>xssProtectionEnabled</param-name> <!-- X-XSS-Protection 默认: true(1; mode=block) -->

        <param-value>false</param-value>

      </init-param>

</filter>

<filter-mapping>

      <filter-name>httpHeaderSecurity</filter-name>

      <url-pattern>/*</url-pattern>

      <dispatcher>REQUEST</dispatcher>

</filter-mapping>
  • ALLOW-FROM 版
<filter>

      <filter-name>httpHeaderSecurity</filter-name>

      <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>

      <async-supported>true</async-supported>

      <init-param>

        <param-name>antiClickJackingEnabled</param-name> <!-- X-Frame-Options 默认(DENY) -->

        <param-value>true</param-value>

      </init-param>

      <init-param>

        <param-name>antiClickJackingOption</param-name>

        <!-- X-Frame-Options 默认(DENY) -

        org.apache.catalina.filters.HttpHeaderSecurityFilter 的内部枚举类 enum XFrameOption { DENY("DENY"),SAME_ORIGIN("SAMEORIGIN"),ALLOW_FROM("ALLOW-FROM"); } -->

        <param-value>ALLOW-FROM</param-value>

      </init-param>

      <init-param>

          <param-name>antiClickJackingUri</param-name>

          <!-- <param-value>http://10.xx.yy.148:18460</param-value> -->

          <param-value>[http://10.xx.yy.148:18460][http://10.xx.yy.149:8085]</param-value>

      </init-param>

</filter>

<filter-mapping>

      <filter-name>httpHeaderSecurity</filter-name>

      <url-pattern>/*</url-pattern>

      <dispatcher>REQUEST</dispatcher>

</filter-mapping>

【备注】

配置http的响应头信息:属性名 X-Frame-Options / X-XSS-Protection / X-Content-Options

- https://blog.csdn.net/liangpingguo/article/details/86703284

- https://blog.csdn.net/li_wen_jin/article/details/88353763

1.此配置将即时生效,Tomcat会实时加载,故 配置完成后,无需重启

Step2 配置Nginx

step2.1 配置Nginx的HTTP安全头

# vi /usr/local/nginx/conf/nginx.conf

在http(或server)模块内添加如下内容:

add_header X-Frame-Options "SAMEORIGIN"; #或 add_header X-Frame-Options SAMEORIGIN;

add_header X-XSS-Protection "1; mode=block";

add_header X-Content-Type-Options "nosniff"; # 禁止嗅探文件类型

step2.2 添加后,重载nginx配置

注:重载(reload)操作不会使Nginx停止服务。

# /usr/local/nginx/sbin/nginx -s reload

Step3 验证配置是否生效

(验证方式同step1.1)

4 header配置详解

此3个header配置可避免以下3种(低危)安全漏洞:

  • [低危]HTTP响应头 X-Content-Options:nosniff

  • [低危]HTTP响应头使用 X-XSS-Protection

  • [低危]HTTP响应头使用 X-Frame-Options

4-1 X-Content-Options

远程网络应用程序不设置X-Content-Options响应头。

X-Content-Options是Microsoft提出的一种缓解MIME类型攻击的方式,并且已经在Chrome和Safari中实现。

X-Content-Type-Options的浏览器兼容性

4-2 X-Frame-Options

可以配置的参数值有3个:

1.DENY:浏览器拒绝当前页面加载任何Frame页面。 [Tomcat中org.apache.catalina.filters.HttpHeaderSecurityFilter(catalina.jar)的默认值]

2.SAMEORIGIN:页面只能加载入同源域名下的页面。[一般配置此值即可]

3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

5 补充问题

(现暂时没空)

  1. X-Frame-Options / X-XSS-Protection / X-Content-Options 三者的配置的值的意义
  2. 3个header涉及的安全漏洞
  3. 讲解 org.apache.catalina.filters.HttpHeaderSecurityFilter 源码
org.apache.catalina.filters.HttpHeaderSecurityFilter

[来源]

Tomcat(任何版本): /lib/catalina.jar:org.apache.catalina.filters.HttpHeaderSecurityFilter.class

Tomcat(source版): /java/org/apache/catalina/filters/HttpHeaderSecurityFilter.java

[重要的内置属性]

private static final String HSTS_HEADER_NAME = "Strict-Transport-Security"; //HSTS ,严格的传输安全

private static final String ANTI_CLICK_JACKING_HEADER_NAME = "X-Frame-Options"; //Click-jacking protection ,拒绝 frame

private static final String BLOCK_CONTENT_TYPE_SNIFFING_HEADER_NAME = "X-Content-Type-Options"; //Block content sniffing ,阻止内容嗅探

private static final String XSS_PROTECTION_HEADER_NAME = "X-XSS-Protection"; //Cross-site scripting filter protection , 跨站脚本过滤器保护

  1. 3个header的浏览器兼容性
  2. Java Web中 配置header的其它方法?

    可参见该博文: Tomcat 配置“X-Frame-Options头” - CSDN

X 参考与推荐文献

[网络/Java EE/Web]Tomcat/Nginx中配置全局的安全响应头(header)——X-Frame-Options / X-XSS-Protection / X-Content-Options的更多相关文章

  1. Java eclipse Myeclipse tomcat安装及配置

    Java eclipse Myeclipse tomcat安装及配置作者:天涯 来源:中国自学编程网 发布日期:1223857747目前,开发Java网页程序,最流行的就是用Myeclipse来进行编 ...

  2. 高性能Web服务器Nginx的配置与部署研究(13)应用模块之Memcached模块+Proxy_Cache双层缓存模式

    通过<高性能Web服务器Nginx的配置与部署研究——(11)应用模块之Memcached模块的两大应用场景>一文,我们知道Nginx从Memcached读取数据的方式,如果命中,那么效率 ...

  3. 高性能Web服务器Nginx的配置与部署研究(7)核心模块之主模块的非测试常用指令

    1. error_log 含义:指定存储错误日志的文件 语法:error_log <file> [debug|info|notice|warn|error|crit] 缺省:${prefi ...

  4. web.config文件中配置数据库连接的两种方式

    web.config文件中配置数据库连接的两种方式 标签: 数据库webconfig 2015-04-28 18:18 31590人阅读 评论(1)收藏举报    分类: 数据库(74)  在网站开发 ...

  5. nginx中配置proxy_pass

    在nginx中配置proxy_pass时,当在后面的url加上了/,相当于是绝对根路径,则nginx不会把location中匹配的路径部分代理走;如果没有/,则会把匹配的路径部分也给代理走. 下面四种 ...

  6. Nginx的配置文件简介及在Nginx中配置基于不同ip的虚拟主机

    Nginx的配置文件简介及在Nginx中配置基于不同ip的虚拟主机: #user nobody; worker_processes 1; #error_log logs/error.log; #err ...

  7. 如何在web.config文件中配置Session变量的生命周期

    实例说明:在网上购物商城中,为了维护在线购物环境,一般只有注册会员才可以购买商品.实现购物功能时,先通过Session变量记录会员的登录名,然后在购买商品页面通过判断会员是否登录确定其能否购买商品. ...

  8. 14 nginx 中配置 expires缓存提升网站负载

    一:nginx 中配置 expires缓存提升网站负载 对于网站的图片,尤其是新闻站, 图片一旦发布, 改动的可能是非常小的.我们希望 能否在用户访问一次后, 图片缓存在用户的浏览器端,且时间比较长的 ...

  9. Nginx中配置vue,react项目地址

    如题 像以前在Nginx中配置域名解析的时候只需要在conf.d文件夹下添加对应的xx.conf文件(当然了你也可以在nginx.conf)下配置. 如果是以前的老项目只需要在配置文件中server内 ...

  10. Nginx中配置https中引用http的问题

    Nginx中配置https中引用http的问题 遇到问题: 今天公司要在后台增加直播入口,使用腾讯云的实时音视频,要求是必须使用https,在配置完强制跳转https候,发现后台无法上传图片,在浏览器 ...

随机推荐

  1. win 端口占用

    netstat -aon|findstr "8080" 查看端口 TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING 11468 TCP 172.27.232 ...

  2. UVA10404

    由题意可知,这题和巴什博弈没什么关系了 相似题目:AtCoder Beginner Contest 278 F - Shiritori 预备知识:DP,博弈论的必胜态和必败态 问题的关键是确定\(f_ ...

  3. Nginx 监听同一端口号配置多个域名

    同一台nginx服务器通过配置多个server块实现在同一端口号下监听多个域名. 需要注意的是:端口号(listen)+主机名(server_name) 需要在多个server中唯一,否则会报错. 实 ...

  4. MySQL查询和事务

    数据库关联查询 内连接查询(inner join) SELECT * FROM tb1 INNER JOIN tb2 ON 条件 左表查询(左关联查询)(left join) 查询两个表共有的数据,和 ...

  5. 第一章 对程序员来说CPU是什么

    章节标题下方有几个问题,看完后便对第一章的内容有了大概的了解. 第一章观后感想: 第一章解释了CPU是什么,CPU相当于计算机的大脑,它的内部由数百万至数亿个晶体管构成. CPU所负责的就是解释和运行 ...

  6. (三).JavaScript的分支结构和循环结构

    1. 分支结构 1.1 分支语句之单分支 ①.语法: if(值,如果不是布尔值会强制转换成布尔值) { 代码块; } ②.案例: // 案例:如果a变量的值加键盘上输入的数大于100,就打印我爱你二狗 ...

  7. 9.6 2020 实验 1:Mininet 源码安装和可视化拓扑工具

    一.实验目的 掌握 Mininet 的源码安装方法和 miniedit 可视化拓扑生成工具.   二.实验任务 使用源码安装 Mininet 的 2.3.0d6 版本,并使用可视化拓扑工具生成一个最简 ...

  8. 【ES6】迭代器

    简介 在 JavaScript 中,迭代器是一个对象,它定义一个序列,并在终止时可能返回一个返回值. 更具体地说,迭代器是通过使用 next() 方法实现迭代器协议的任何一个对象,该方法返回具有两个属 ...

  9. 七、CSS网格

    构造一个5*5的网格,如下图所示,同一颜色表示同个区域,黑线表示间隔5px 1.普通方式建立网格 <!DOCTYPE html> <html> <body> < ...

  10. Jmeter读取Csv文件,字段中有逗号分隔,读取不成功

    Jmeter读取Csv文件,字段中有逗号分隔,读取不成功