单击劫持和缺少 http 安全 header Vaadin

Click jacking and Missing http security header Vaadin

我们最近有一位安全顾问查看了我们使用 vaadin 构建的应用程序。我们还在version 6。 以下是实施的建议

我的问题是,考虑到vaadin注重安全,vaadin是如何应对这种情况的?

on oficial documentation of vaadin 6 版本没有可用信息。 还发现了这个 solution ,但不确定它是否有效。同样在 vaadin 论坛上,没有可用的解决方案线程。

那些 header 不直接在 Vaadin 的影响范围内。 Vaadin 理论上可以将这样的 header 添加到它管理的响应中,但在某些情况下,其中一些不合适,这就是默认情况下不添加它们的原因。

因此,我建议您配置托管环境(例如负载平衡器或应用程序服务器)以在所有相关响应中包含您想要的 header 值。另一种方法是创建一个添加 header 的简单 Servlet 过滤器。 the answer that you linked to.

中描述了其变体