【绿盟】检测到目标Strict-Transport-Security响应头缺失
1.问题展示
项目安全扫描,扫到以下问题。
检测到目标URL存在客户端(JavaScript)Cookie引用
检测到目标Strict-Transport-Security响应头缺失
检测到目标Referrer-Policy响应头缺失
检测到目标X-Permitted-Cross-Domain-Policies响应头缺失
检测到目标X-Download-Options响应头缺失
点击劫持:X-Frame-Options未配置
2. 解决问题
设置统一过滤器,过滤所有请求,设置以上响应头,即可解决问题。
~~~java
/*** @author ZQQ* @version 1.0* @date 2021/9/22 15:54* @desc :*/
@WebFilter(urlPatterns = "/*", filterName = "responseHeadFilter")
public class ResponseHeadFilter implements Filter {@Overridepublic void init(FilterConfig filterConfig) throws ServletException {}public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException, IOException {//增加响应头缺失代码HttpServletRequest req=(HttpServletRequest)request;HttpServletResponse res=(HttpServletResponse)response;res.addHeader("X-Frame-Options","SAMEORIGIN");res.addHeader("Referrer-Policy","origin");res.addHeader("Content-Security-Policy","object-src 'self'");res.addHeader("X-Permitted-Cross-Domain-Policies","master-only");res.addHeader("X-Content-Type-Options","nosniff");res.addHeader("X-XSS-Protection","1; mode=block");res.addHeader("X-Download-Options","noopen");res.addHeader("Strict-Transport-Security","max-age=63072000; includeSubdomains; preload");//处理cookie问题Cookie[] cookies = req.getCookies();if (cookies != null) {for (Cookie cookie : cookies) {String value = cookie.getValue();StringBuilder builder = new StringBuilder();builder.append(cookie.getName()+"="+value+";");builder.append("Secure;");//Cookie设置Secure标识builder.append("HttpOnly;");//Cookie设置HttpOnlyres.addHeader("Set-Cookie", builder.toString());}}chain.doFilter(request, response);}@Overridepublic void destroy() {}
}
~~~【绿盟】检测到目标Strict-Transport-Security响应头缺失相关推荐
- 绿盟检测到目标主机可能存在缓慢的HTTP拒绝服务攻击,解决过程
今天做了一个等保网站,客户使用绿盟进行安全测评,由于在测评前,我已使用丹靘测试进行了免费检测,所以信心十足,结果,果然连一条低危风险都没有出,出了一条:检测到目标主机可能存在缓慢的HTTP拒绝服务攻击 ...
- 【绿盟】检测到目标Referrer-Policy响应头缺失
问题展示: 项目进行安全扫描 遇到以下低危的风险需要处理~ 响应头缺失 需要更新后台文件 作为一枚前端菜鸟~我就这样开始了摸索的道路 因为项目是用tomcat部署到服务器上的 所以我们需要 ...
- 为什么我们要使用HTTP Strict Transport Security?
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 0×01. Freebuf百科: ...
- 渗透测试web未设置http头 Strict Transport Security
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 0×01. Freebuf百科: ...
- chrome去除htst_HTTP Strict Transport Security实战详解
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 0×01. Freebuf百科: ...
- HTTP Strict Transport Security (HSTS) in ASP.NET Core
本文是<2020年了,再不会HTTPS就老了>的后篇,本文着重聊一聊HTTP Strict Transport Security协议的概念和应用. 启用 HTTPS 还不够安全 现在很多站 ...
- HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一)
// HTTP strict transport security (HSTS) is defined in // http://tools.ietf.org/html/ietf-websec-str ...
- html增加hsts头,开启HSTS(HTTP Strict Transport Security)
开启HSTS(HTTP Strict Transport Security) HSTS(HTTP Strict Transport Security) 的作用就是,当你使用了一次之后,浏览器就会记住这 ...
- HTTP Strict Transport Security 导致的307 http自动跳转https
今天遇到一个 由于nginx设置了header:Strict-Transport-Security导致url自动跳转为https的问题. 记录如下: 开发者模式下可以看到307及hsts类提示信息 可 ...
最新文章
- Java 8 Stream原理解析
- python svm
- python毒酒检测_检测OpenSSL漏洞的脚本
- Ubuntu 16.04卸载CUDA 6.5和安装CUDA 8.0
- python frame如何置顶_Python tkinter frame父窗口小部件排列列
- .NET5 开发手机提词应用,基于内嵌Web服务器及PowerPoint自动化
- play框架入门操作
- fullcalendar php,日历插件fullcalendar+php的使用教程 — 读取json数据
- springmvc使用requestmapping无法访问控制类_研究人员称人类使用的新烟碱类杀虫剂让蜜蜂无法入睡...
- c语言写os 编译器,你真的懂''Hello world''吗?从编译器到OS内核系列:编译器基本概念...
- 24. 二叉搜索树的后续遍历序列(c++版本)
- java处理excel的读写
- python 实现 熵值法 确定指标权重
- 计算机高配置表cpu,高配置电脑配置清单
- 嵌入式系统开发-麦子学院(11)——ARM Cortex A8 硬件基础(1)
- 找回Word未保存文档
- 数字经济商学院开班仪式成功举行 创新社《筱静观察》倾情支持
- Ubuntu手机开发者创新大赛-西安站-6月3日 周三07:00-10:30 西安邮电大学长安校区东区fz118
- 为什么监控显示没有连接服务器,为什么看幼儿园监控就显示连接检验服务失败请 – 手机爱问...
- lstm timestep一般是多少_Keras的LSTM的时间步长是多少?