单击劫持和缺少 http 安全 header Vaadin
Click jacking and Missing http security header Vaadin
我们最近有一位安全顾问查看了我们使用 vaadin 构建的应用程序。我们还在version 6
。
以下是实施的建议
- "X-Frame-Options" 在 header.
- Content-Security-Policy:script-src'self
- X-Content-Type-Options:nosniff
- X-FrameOptions:同源
- 配置 Web 服务器以包含响应 header-X-XSS-Protection:1;mode=block
我的问题是,考虑到vaadin注重安全,vaadin是如何应对这种情况的?
on oficial documentation of vaadin 6 版本没有可用信息。
还发现了这个 solution ,但不确定它是否有效。同样在 vaadin 论坛上,没有可用的解决方案线程。
那些 header 不直接在 Vaadin 的影响范围内。 Vaadin 理论上可以将这样的 header 添加到它管理的响应中,但在某些情况下,其中一些不合适,这就是默认情况下不添加它们的原因。
因此,我建议您配置托管环境(例如负载平衡器或应用程序服务器)以在所有相关响应中包含您想要的 header 值。另一种方法是创建一个添加 header 的简单 Servlet 过滤器。 the answer that you linked to.
中描述了其变体
我们最近有一位安全顾问查看了我们使用 vaadin 构建的应用程序。我们还在version 6
。
以下是实施的建议
- "X-Frame-Options" 在 header.
- Content-Security-Policy:script-src'self
- X-Content-Type-Options:nosniff
- X-FrameOptions:同源
- 配置 Web 服务器以包含响应 header-X-XSS-Protection:1;mode=block
我的问题是,考虑到vaadin注重安全,vaadin是如何应对这种情况的?
on oficial documentation of vaadin 6 版本没有可用信息。 还发现了这个 solution ,但不确定它是否有效。同样在 vaadin 论坛上,没有可用的解决方案线程。
那些 header 不直接在 Vaadin 的影响范围内。 Vaadin 理论上可以将这样的 header 添加到它管理的响应中,但在某些情况下,其中一些不合适,这就是默认情况下不添加它们的原因。
因此,我建议您配置托管环境(例如负载平衡器或应用程序服务器)以在所有相关响应中包含您想要的 header 值。另一种方法是创建一个添加 header 的简单 Servlet 过滤器。 the answer that you linked to.
中描述了其变体