По соображениям безопасности параметры X-Frame должны быть включены в ответы http моего приложения.Я создал класс фильтра для добавления X-Frmae-OPTIONS в ответ.Опции x-frame-option включены во все страницы приложения, за исключением ajax4jsf / framework.pack.js и richfaces / skin.xcss.Эти два файла показаны как угроза безопасности, и x-frame-options не включен.Мы используем richface3.3 и Seams и JSF1.2 и java, weblogic12c.Я использую OWASP ZAP для сканирования приложения
Мои вопросы:
- Почему класс фильтра игнорируется?Есть способ, которым я могу это изменить?
- решает ли это обновление (richface, seams, jsf и т. Д.) Эту проблему?Любое другое решение?
Спасибо за вашу помощь
public class XSSFilter implements Filter {
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
String mode = "SAMEORIGIN";
//String mode = "DENY";
HttpServletResponse res = (HttpServletResponse)response;
HttpServletRequest req = (HttpServletRequest) request;
//Clickjacking protection
res.setHeader("X-FRAME-OPTIONS", mode);
res.setHeader("X-XSS-Protection", "1; mode=block");
chain.doFilter(request, res);
}
public void destroy() {
}
public void init(FilterConfig filterConfig) throws ServletException {
}
}