单击jacking and Missing http security header Vaadin_Security_Vaadin_Websecurity_Clickjacking_Vaadin6

单击jacking and Missing http security header Vaadin

security vaadin

单击jacking and Missing http security header Vaadin,security,vaadin,websecurity,clickjacking,vaadin6,Security,Vaadin,Websecurity,Clickjacking,Vaadin6,我们最近请了一位安全顾问来查看我们使用vaadin构建的应用程序。我们仍然使用版本6。以下是实施的建议标题中的“X帧选项” 内容安全策略：script-src'self X-Content-Type-Options:nosniff X-FrameOptions:SAMEORIGIN 将web服务器配置为包含响应头-X-XSS-Protection:1；模式=块我的问题是，考虑到瓦丁关注安全，瓦丁如何应对这种情况对于6版本，没有可用的信息。也发现了这一点，但不确定它是否有效。同样在v

我们最近请了一位安全顾问来查看我们使用vaadin构建的应用程序。我们仍然使用

版本6

。以下是实施的建议

标题中的“X帧选项”
内容安全策略：script-src'self
X-Content-Type-Options:nosniff
X-FrameOptions:SAMEORIGIN
将web服务器配置为包含响应头-X-XSS-Protection:1；模式=块

我的问题是，考虑到瓦丁关注安全，瓦丁如何应对这种情况

对于6版本，没有可用的信息。

也发现了这一点，但不确定它是否有效。同样在vaadin论坛上，也没有可用的解决方案线程。

这些标题不直接在vaadin的影响范围内。理论上，Vaadin可以将这些头添加到它管理的响应中，但也有一些情况下，其中一些头不合适，这就是为什么默认情况下不添加这些头的原因

因此，我建议您配置主机环境（例如负载平衡器或应用程序服务器），以便在所有相关响应中包含所需的头值。另一种选择是创建一个简单的Servlet过滤器来添加标题。这些标题不直接在瓦丁的影响范围内。理论上，Vaadin可以将这些头添加到它管理的响应中，但也有一些情况下，其中一些头不合适，这就是为什么默认情况下不添加这些头的原因

因此，我建议您配置主机环境（例如负载平衡器或应用程序服务器），以便在所有相关响应中包含所需的头值。另一种选择是创建一个简单的Servlet过滤器来添加标题。中描述了其变体