웹취약성점검툴인 OWASP ZAP을 실행하였는데
미디움 레벨로 제일 많이 나오는 경고가
X-Frame-Options Header Not Set 경고이다.
내용은 아래와 같다.
Medium (Medium)
X-Frame-Options Header Not Set
Description
X-Frame-Options header is not included in the HTTP response to protect against 'ClickJacking' attacks.
URL http://localhost:8080/usr/main/UsrMainBasc0102.do?popupSeq=71
Method GET
Parameter X-Frame-Options
해결
Most modern Web browsers support the X-Frame-Options HTTP header.
Ensure it's set on all web pages returned by your site
(if you expect the page to be framed only by pages on your server (e.g. it's part of a FRAMESET)
then you'll want to use SAMEORIGIN, otherwise if you never expect the page to be framed,
you should use DENY. ALLOW-FROM allows specific websites to frame the web page in supported web browsers).
참조
http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx
클릭제킹이란 간단하게
사용자의 클릭이 의도하지 않은 화면을 클릭하게 해서 사용자의 의도와 다른 이벤트를 발생시키는것이다.
요즘 가장 많이 보이는것이
광고 레이어를 투명하게 만들어서 클릭하면 광고페이지로 이동하게 만드는것
frame, iframe, obejct 등을 이용해서..
아무튼 해당 경고를 제거할려면
web.xml에 다음과 같은 필터를 추가한다.
<!-- X-Frame-Options header -->
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>*.do</url-pattern>
</filter-mapping>
경로는 *.do만 설정
클릭젝킹방지설정은
DENY, SAMEORIGIN, ALLOW-FROM allows
중 원하는 설정으로...
'서버설정' 카테고리의 다른 글
| 리눅스 일반 사용자권한으로 서버 재기동 reboot 시 자동 실행 설정하기 (0) | 2023.06.13 |
|---|---|
| 리눅스 vi 색상 변경 - :colorscheme (0) | 2023.06.12 |
| 윈도우 Apache Tomcat 버전별 자바 버전 수동 설정 (0) | 2023.03.08 |
| org.apache.catalina.webresources.cache.getresource unable to add the resource at 오류 (0) | 2022.09.06 |
| 톰캣 외부 폴더 context 설정 및 jsp 실행 안되게 하기 (0) | 2018.02.23 |