我们最近有一位安全顾问来看看我们使用vaadin构建的应用程序。我们仍在version 6上。
以下是实施建议。
我的问题是,考虑到vaadin重视安全性,vaadin如何应对这种情况?
on oficial documentation of vaadin(6版)没有可用的信息。 还发现了这个solution,但不确定,它是否可以工作。另外,在vaadin论坛上,没有适用于此的解决方案线程。
答案 0 :(得分:2)
这些标题并非直接在Vaadin的影响范围内。从理论上讲,Vaadin可以将这样的标头添加到它管理的响应中,但是在某些情况下,其中某些标头不合适,这就是为什么默认情况下不添加标头的原因。
因此,我建议您配置托管环境(例如负载平衡器或应用程序服务器),以在所有相关响应中包含所需的标头值。另一种选择是创建一个添加标题的简单Servlet过滤器。 the answer that you linked to中对此进行了描述。