Tomcat 设置HTTP响应头与服务器配置_Tomcat_Jakarta Ee_Jboss_Http Headers_Penetration Testing

Tomcat 设置HTTP响应头与服务器配置

tomcat jakarta-ee jboss

Tomcat 设置HTTP响应头与服务器配置,tomcat,jakarta-ee,jboss,http-headers,penetration-testing,Tomcat,Jakarta Ee,Jboss,Http Headers,Penetration Testing,我知道，使用http响应头，我们可以在java web应用程序上强制采取额外的安全措施。我举了一个例子 resp.setHeader( "X-FRAME-OPTIONS", "SAMEORIGIN" ); resp.setHeader("Strict-Transport-Security", "max-age=16070400; includeSubDomains;") 但由第三方（赛门铁克）进行的渗透测试仍然显示出同样的问题。我想知道是否还需要在应用服务器（Tomcat6和JBoss5

我知道，使用http响应头，我们可以在java web应用程序上强制采取额外的安全措施。我举了一个例子

 resp.setHeader( "X-FRAME-OPTIONS", "SAMEORIGIN" );
 resp.setHeader("Strict-Transport-Security", "max-age=16070400; includeSubDomains;")

但由第三方（赛门铁克）进行的渗透测试仍然显示出同样的问题。我想知道是否还需要在应用服务器（Tomcat6和JBoss5和6）中配置一些东西

参考资料：

你说的是“同样的问题”。请澄清它们是什么。早些时候，另一个第三方提出了上述安全威胁问题。后来我用上面提到的标题修复了它们。就连我自己也试过做clickjack。最近赛门铁克进行了笔试，并报告了与信息项相同的修复问题。奇怪。。。我也有类似的经历。我通过Tomcat配置设置了这些头文件，笔测试将这些头文件标记为丢失。我不明白！你说的是“同样的问题”。请澄清它们是什么。早些时候，另一个第三方提出了上述安全威胁问题。后来我用上面提到的标题修复了它们。就连我自己也试过做clickjack。最近赛门铁克进行了笔试，并报告了与信息项相同的修复问题。奇怪。。。我也有类似的经历。我通过Tomcat配置设置了这些头文件，笔测试将这些头文件标记为丢失。我不明白！