Java 如何防止所有项目受到攻击,似乎spring没有';不要保护所有的网站
春季安全 我必须防止一些攻击(Xss、Xframe、X-Content) 但是从owasp zap的结果来看,它似乎只是保护了Java 如何防止所有项目受到攻击,似乎spring没有';不要保护所有的网站,java,spring-mvc,Java,Spring Mvc,春季安全 我必须防止一些攻击(Xss、Xframe、X-Content) 但是从owasp zap的结果来看,它似乎只是保护了jsp文件,而不是所有的项目 例如,WebContent下的这些站点仍然无法阻止攻击 http://localhost:8080/My_Project/javascript/login.js http://localhost:8080/My_Project/javascript/manager.js http://localhost:8080/My_Project/ui/
jspWebContenthttp://localhost:8080/My_Project/javascript/login.js
http://localhost:8080/My_Project/javascript/manager.js
http://localhost:8080/My_Project/ui/bootstrap/dist/css/bootstrap.min.css
SecurityHeadersInterceptor.javapublic class SecurityHeadersInterceptor extends HandlerInterceptorAdapter {
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
response.setHeader("X-Content-Type-Options", "nosniff");
response.setHeader("X-Frame-Options", "DENY");
response.setHeader("X-XSS-Protection", "1; mode=block");
super.postHandle(request, response, handler, modelAndView);
}
}
<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/**"/>
<bean class="com.my.project.interceptor.SecurityHeadersInterceptor"/>
</mvc:interceptor>
</mvc:interceptors>