如何解决包含Spring Security标头,但仍会收到“未设置标头”漏洞警告
我想摆脱与标头相关的漏洞警告。 (缺少X-Frame标头,缺少内容类型标头)
我查看了Spring文档并进行了必要的更改。但是仍然收到那些警告(我正在使用Owasap Zap安全工具来验证漏洞警告)
Security.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<security:http create-session="never" entry-point-ref="http403EntryPoint" >
<security:headers>
<security:content-type-options/>
<security:frame-options/>
</security:headers>
</security:http>
<security:authentication-manager>
<security:authentication-provider>
<security:user-service>
<security:user name="_" password="_" authorities="_" />
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
<bean id="http403EntryPoint" class="org.springframework.security.web.authentication.Http403ForbiddenEntryPoint">
</bean>
</beans>
我已经在pom文件中添加了必需的依赖项。
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version 4.1.0.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version 4.1.0.RELEASE</version>
</dependency>
解决方法
我在web.xml中缺少必需的servlet过滤器
foo: i8
此过滤器调用一个Spring bean(springSecurityFilterChain),它是由名称空间创建的内部基础结构bean,用于处理Web安全。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。