我想在Vaadin 7和8应用中阻止clickjacking attack。由于Vaadin应用程序默认为designed to be embeddable,因此需要一些配置或代码来增加安全性。
这是我的第一个实验,它为每个响应添加了X-Frame-Options header,以强制浏览器使用相同的原始策略。
public class MyVaadinServlet extends VaadinServlet {
@Override
protected void service(HttpServletRequest request,
HttpServletResponse response) throws ServletException, IOException {
// add clickjacking prevention
response.addHeader("X-Frame-Options", "SAMEORIGIN");
super.service(request, response);
}
}
我想知道是否有更好的vaadin应用程序解决方案,我不知道的现有vaadin配置选项,或者此实现是否存在缺陷或限制。
我们确实在我们的应用程序前面安装了Apache,但我不知道在那里添加标头操作是否会很脆弱,而不是在应用程序本身内部(它可以由开发人员轻松测试和更改)。 / p>