Что-то в сети. xml моего Apache Isis Project отключает аспекты безопасности tomcat (HSTS и Clickjacking)

Question

У меня мой tomcat (v8) настроен для глобального использования строгой транспортной безопасности (HSTS) и предотвращения кликджекинга (в / opt / tomcat / conf / web. xml):

<filter>
    <filter-name>httpHeaderSecurity</filter-name>
    <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
    <async-supported>true</async-supported>
</filter>

<filter-mapping>
    <filter-name>httpHeaderSecurity</filter-name>
    <url-pattern>/*</url-pattern>
    <url-pattern>*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
</filter-mapping>

Я также вижу, что он работает. Если я посмотрю на заголовки одного из моих веб-приложений, они содержат:

Strict-Transport-Security: max-age=0
X-Frame-Options: DENY

Но : при анализе заголовков моего проекта Apache Isis я обнаружил, что X-Frame-Options и Strict-Transport-Security отсутствуют. Я предполагаю, что есть проблема с одним из фильтров в сети. xml проекта Isis, который перезаписывает глобальные настройки. Я попытался закомментировать некоторые из них, но либо приложение тогда работало некорректно, либо приложение работало, но заголовков все еще не было ...

Мои проекты в сети. xml это

<?xml version="1.0" encoding="UTF-8"?>
<web-app id="WebApp_ID" version="2.4"
    xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">

    <display-name>...</display-name>

    <welcome-file-list>
        <welcome-file>about/index.html</welcome-file>
    </welcome-file-list>

    <!-- shiro security configuration -->
    <listener>
        <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
    </listener>

    <filter>
        <filter-name>ShiroFilter</filter-name>
        <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>ShiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!--
    determines which additional configuration files to search for
     -->
    <context-param>
        <param-name>isis.viewers</param-name>
        <param-value>wicket,restfulobjects</param-value>
    </context-param>

    <!--
    -
    - config specific to the wicket-viewer
    -
    -->
    <filter>
        <filter-name>WicketFilter</filter-name>
        <filter-class>org.apache.wicket.protocol.http.WicketFilter</filter-class>
        <init-param>
            <param-name>applicationClassName</param-name>
            <param-value>domainapp.webapp.MyApplication</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>WicketFilter</filter-name>
        <url-pattern>/wicket/*</url-pattern>
    </filter-mapping>

    <context-param>
        <param-name>configuration</param-name>
        <param-value>deployment</param-value>
    </context-param>

</web-app>

Какая часть моих веб-проектов. xml может привести к тому, что tomcat не будет использовать включенный по умолчанию HSTS и защиту от кликов для моего проекта ISIS?

Answer 1

Благодаря намёку Энди Хубера на ASF-ISIS-Slack-Channel я смог решить свои проблемы.

Энди намекнул, что приоритет фильтра определяется порядком появления в сети . xml файл. Поэтому я добавил фильтры, связанные с безопасностью, в начало проектов web. xml.

<?xml version="1.0" encoding="UTF-8"?>
<web-app id="WebApp_ID" version="2.4"
    xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">

    <display-name>...</display-name>

    <welcome-file-list>
        <welcome-file>about/index.html</welcome-file>
    </welcome-file-list>

    <filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
        <url-pattern>*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Secured</web-resource-name>
            <url-pattern>/*</url-pattern>
        </web-resource-collection>
        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

    <!-- shiro security configuration -->
    <listener>
        <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
    </listener>

   ...
</web-app>

К сожалению, я до сих пор не знаю, какая часть фильтров, связанных с ISIS вызвал начальную проблему. Но пока моя безопасность Tomcat улучшилась, я могу с этим жить; -)