在spring-boot应用程序中启用X-Frame-Options标头(没有spring安全性)

时间:2018-02-16 08:10:52

标签: java spring http security clickjacking

安全团队测试了我们的应用程序和发现的以下警告:

  

X-Frame-Options标头未包含在要保护的HTTP响应中   反对' ClickJacking'攻击。

我们在应用程序中使用spring boot但我们不使用spring security。我们使用自定义安全机制。

有没有办法将此标题添加到所有回复中?

1 个答案:

答案 0 :(得分:1)

您可以创建自定义过滤器并在其中设置标题:

public class XFrameFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest httpRequest,
                                    HttpServletResponse httpResponse,
                                    FilterChain filterChain) throws ServletException, IOException {
        httpResponse.setHeader("X-FRAME-OPTIONS", "DENY");

        filterChain.doFilter(httpRequest, httpResponse);
    }
}
相关问题
最新问题