WebアプリケーションのantiClickJacking脆弱性の修正

Question

私はApache Tomcatサーバー上で2つのWebアプリケーションを実行しています。セキュリティチームによって確認された脆弱性は2つあります。

85582 - クリックジャッキング

に対して潜在的に脆弱なWebアプリケーション我々はこの問題を修正する必要があるように私はいくつかのサイトを介して行ってきました。私たちは、クライアント側またはサーバー側のいずれかの予防策をとることができると言われています。私は、サーバーサイドの予防のために、Tomcat web.xmlファイルに "HTTP Header sercurity Filter"を追加する必要があることを理解しました。

どのように私はこれとどのように選択する必要があります誰かを伝えることができますか？ 追加フィルタを使用する必要がある場合は、それだけで十分ですか、何か追加する必要がありますか？

これに関するお手伝いをさせていただきます。おかげさまで

Answer 1

クリックジャッキなどの脆弱性を緩和する方法はいくつかあります。どのテクニックを使いたいと思っていましたか？ TomcatのHTTP Header Security Filterでも多くのオプションがあります。通常、クリックジャッキはアプリケーションのXSSバグやその他の重大なアプリケーションの問題（またはページ上にホストされている広告などの関連製品）によって可能になります。

ただし、HTTPヘッダーセキュリティフィルターを有効にするだけでは不十分です。アプリケーションも安全でなければなりません。ウェブブラウザのクリック防止機能（単にこれらのヘッダを使用して有効にされている）は、ブラウザに送信するコンテンツに注意を払わないサーバ用のセーフティネットです。あなたには、例えば何もないことを確認する必要があります。あなたのアプリケーションのXSS脆弱性