问题描述
我们需要修复 JBoss EAP 6.4 中的一个漏洞,该漏洞与未检测到HTTP安全标头(QID 11827)有关。
此漏洞是在应用程序服务器层而不是IHS上报告的。 在线上的所有建议都是针对JBoss EAP 7.x(undertow子系统)的,不适用于JBoss EAP 6.4(Web子系统)。
我尝试在standalone.xml的WEB子系统下添加过滤器,但是没有用。可能我没有使用正确的格式/语法。
请告知。
解决方法
缺少以下HTTP标头时,将检测到上述QID(11827):
- X-Frame-Options
- X-XSS-Protection HTTP
- X-Content-Type-Options
- 严格的运输安全性
设置这些标头的一种好方法是通过实现自定义过滤器。请注意,这是针对特定的Web应用程序!
如果要全局设置这些HTTP标头,则必须实现自定义阀门!