修复web应用程序的antiClickJacking漏洞

Question

我有两个在Apache Tomcat服务器上运行的Web应用程序。我们的安全团队发现了两个漏洞。

85582 - Web应用程序可能受到点击劫持

我已经通过一些网站了，因为我们要解决这个问题。有人说，我们可以与客户端或服务器端预防。我明白，对于服务器端的预防，我们需要在tomcat web.xml文件中添加“HTTP Header sercurity Filter”。

任何人都可以告诉我需要为此选择哪种方式？ 如果我需要去添加过滤器，是单独足够还是我需要做额外的事情？

对此的任何帮助将不胜感激。 谢谢。

Answer 1

有几种方法可以缓解漏洞，如clickjacking。你希望使用哪种技术？即使Tomcat的HTTP Header Security Filter有很多选择。通常，通过应用程序中的XSS错误或其他严重的应用程序问题（或相关产品，例如页面上托管的广告），可以实现点击劫持。

但是，启用HTTP标头安全筛选器是不够的。你的应用程序也必须是安全的。 Web浏览器的反click点功能（仅使用这些标题启用）是服务器的安全网络，对于发送给浏览器的内容不太在意。您需要确保没有例如应用程序中的XSS漏洞也是如此。