【问题标题】:HTTP Security Header Not Detected in JBoss EAP 6.4在 JBoss EAP 6.4 中没有检测到 HTTP 安全头
【发布时间】:2021-01-26 08:57:42
【问题描述】:

我们需要修复 JBoss EAP 6.4 中与 HTTP Security Header Not Detected (QID 11827) 相关的漏洞。

此漏洞是在应用服务器层报告的,而不是在 IHS 上报告的。 网上所有的建议都是针对 JBoss EAP 7.x(undertow 子系统)的,不适用于 JBoss EAP 6.4(web 子系统)。

我尝试在 WEB 子系统下的standalone.xml 中添加过滤器,但没有成功。可能我没有使用正确的格式/语法。

请指教。

【问题讨论】:

    标签: security jboss jboss6.x


    【解决方案1】:

    当以下 HTTP 标头缺失时检测到上述 QID (11827):

    • X 框架选项
    • X-XSS-保护 HTTP
    • X-Content-Type-Options
    • 严格的传输安全

    设置这些标头的一种简单易用的方法是实现自定义过滤器。请注意,这是针对特定 Web 应用程序的!

    如果你想全局设置这些http头,那么你必须实现一个自定义阀门

    【讨论】:

    • 感谢您的回复。但我无法在standalone.xml 中添加自定义过滤器。看起来语法不正确,因此 JBoss 不会重新启动。您能否为 JBoss 6.4 提供一个示例自定义过滤器?这将是一个很大的帮助。
    • 你必须开发一个自定义过滤器,然后你需要把这个jar放在web应用程序的lib文件夹中!
    猜你喜欢
    • 1970-01-01
    • 2016-09-10
    • 1970-01-01
    • 2018-09-16
    • 2019-02-17
    • 2021-08-26
    • 2017-02-06
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多