我有两个在Apache tomcat服务器上运行的Web应用程序。我们的安全团队发现了两个漏洞。


  85582-Web应用程序可能会受到点击劫持的攻击


我已经浏览了一些站点,因为我们必须解决此问题。据说我们可以采用客户端或服务器端防护。我了解,为防止服务器端,我们需要在tomcat web.xml文件中添加“ HTTP标头安全过滤器”。

谁能说出我需要选择哪种方式以及如何选择?
如果我需要添加过滤器,那么这是否足够?还是需要做更多的事情?

任何帮助,将不胜感激。
谢谢。

最佳答案

有多种缓解漏洞的方法,例如点击劫持。您希望使用哪种技术?甚至Tomcat的HTTP Header Security Filter也有很多选择。通常,通过应用程序中的XSS错误或其他严重的应用程序问题(或相关产品,例如网页上托管的广告)可以实现点击劫持。

但是,仅启用HTTP标头安全过滤器是不够的。您的应用程序也必须安全。 Web浏览器的防点击劫持功能(仅使用这些标头启用)是服务器的安全网,这些服务器不关心它们发送到浏览器的内容。您需要确保没有您的应用程序中的XSS漏洞也是如此。

07-24 09:43
查看更多