我在Apache tomcat服务器上运行了两个Web应用程序。我们的安全团队发现了两个漏洞。
85582 - Web应用程序可能容易遭受点击劫持
我已经浏览了一些网站,因为我们必须解决这个问题。据说我们可以使用客户端或服务器端防止。我了解到,对于服务器端防护,我们需要在tomcat web.xml文件中添加“HTTP Header sercurity Filter”。
任何人都可以告诉我需要选择哪种方式以及如何选择? 如果我需要去添加过滤器,那就足够了还是我需要做额外的事情?
对此的任何帮助将不胜感激。 感谢。
答案 0 :(得分:0)
有几种方法可以缓解点击劫持等漏洞。你希望使用哪种技术?即使是Tomcat的HTTP Header Security Filter也有很多选择。通常,通过应用程序中的XSS错误或其他一些严重的应用程序问题(或相关产品,例如页面上托管的广告),可以实现点击劫持。
但是,启用HTTP标头安全过滤器是不够的。您的应用程序也必须是安全的。 Web浏览器的反点击劫持功能(仅使用这些标头启用)是服务器的安全网,对于发送到浏览器的内容并不小心。你需要确保没有例如您的应用程序中也存在XSS漏洞。