我正在使用OWASP ZAP检查安全问题,我必须解决这两个问题:
“X-Content-Type-Options Header Missing”
和
“不完整或没有缓存控制和Pragma HTTP标头集”。
我正在使用ZK框架和嵌入式码头服务器。我试图将这些标题添加到jetty服务器,但安全测试总是失败
webAppContext.getServletHandler().getServletContext().setInitParameter("cacheControl", "private, no-cache, no-store, proxy-revalidate, no-transform");
webAppContext.getServletHandler().getServletContext().setInitParameter("Pragma", "no-cache");
webAppContext.getServletHandler().getServletContext().setInitParameter("Expires", "0");
我没有找到改变Jetty contentType的方法,如text/html; charset=UTF-8; X-Content-Type-Options=nosniff