Question

出于安全原因，X-Frame选项必须包含在我的应用程序的http响应中。我创建了一个过滤器类来将X-Frmae-OPTIONS添加到响应中。 x-frame-选项包含在所有app页面中，例外的是ajax4jsf / framework.pack.js和richfaces / skin.xcss。这两个文件显示为安全风险，并且不包括x-frame-options。我们使用的是richface3.3和Seams以及JSF1.2和java，weblogic12c。我使用OWASP ZAP扫描应用程序

我的问题：

为什么忽略过滤器类？我有办法改变它吗？
升级（richface，接缝和jsf等）是否解决了这个问题？还有其他解决办法吗？

感谢您的帮助

 public class XSSFilter implements Filter { 

 public void doFilter(ServletRequest request, ServletResponse response,
          FilterChain chain) throws IOException, ServletException {
   String mode = "SAMEORIGIN";
   //String mode = "DENY";
   HttpServletResponse res = (HttpServletResponse)response;
   HttpServletRequest req = (HttpServletRequest) request;        

    //Clickjacking protection 
   res.setHeader("X-FRAME-OPTIONS", mode);
   res.setHeader("X-XSS-Protection", "1; mode=block");
    chain.doFilter(request, res); 


   }

   public void destroy() {
   }

   public void init(FilterConfig filterConfig)  throws ServletException {
   }

 }

X-Frame-Options标头不包含在ajax4jsf和richfaces的HTTP响应中

0 个答案: