为了解决clickJacking并阻止我的网站被iframe打开,我创建了一个servlet过滤器,我在其中添加了以下行来添加“X-FRAME-OPTIONS”响应头。但是当我运行页面并看到该页面的响应标题时,我从来没有得到过这个标题。任何想法为什么?
public void doFilter(
ServletRequest request, ServletResponse response, FilterChain chain
) throws IOException, ServletException
{
HttpServletResponse res = (HttpServletResponse)response;
chain.doFilter(request, response);
//Specify the mode
res.addHeader("X-FRAME-OPTIONS", "DENY");
}
答案 0 :(得分:12)
您需要在调用doFilter之前添加标头。当控件从doFilter返回时,标题和正文已经发送,因此您的addHeader将被忽略。