Apache tomcat サーバーで 2 つの Web アプリケーションを実行しています。セキュリティ チームによって特定された 2 つの脆弱性があります。
85582 - クリックジャッキングに対して潜在的に脆弱な Web アプリケーション
この問題を解決する必要があるため、いくつかのサイトを調べました。クライアント側またはサーバー側のいずれかの防止を使用できると言われています。サーバー側の防止のために、Tomcat web.xml ファイルに「HTTP Header sercurity Filter」を追加する必要があることを理解しました。
このためにどの方法をどのように選択する必要があるか、誰にもわかりますか? フィルターを追加する必要がある場合、それだけで十分ですか、それとも何か特別なことをする必要がありますか?
これに関するヘルプは大歓迎です。ありがとう。
クリックジャッキングなどの脆弱性を緩和する方法はいくつかあります。どのテクニックを使用したいと思っていましたか? Tomcat のHTTP ヘッダー セキュリティ フィルターにも多くのオプションがあります。通常、クリックジャッキングは、アプリケーションの XSS バグまたはその他の重大なアプリケーションの問題 (または、ページでホストされている広告などの関連製品) によって可能になります。
ただし、HTTP ヘッダー セキュリティ フィルターを有効にするだけでは不十分です。アプリケーションも安全でなければなりません。Web ブラウザーのアンチ クリックジャッキング機能 (これらのヘッダーを使用して有効にするだけです) は、ブラウザーに送信するコンテンツに注意を払わないサーバーのセーフティ ネットです。アプリケーションにも XSS 脆弱性などがないことを確認する必要があります。