Tomcat 配置“X-Frame-Options头”

【原理】 配置http的响应头信息:属性名X-Frame-Options。

可以配置的参数有两个:

1.DENY:浏览器拒绝当前页面加载任何Frame页面。

2.SAMEORIGIN:页面只能加载入同源域名下的页面。

3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

一般选第二个参数就可以了。


方式一:每页面添加(太傻逼):

<% response.addHeader("x-frame-options","SAMEORIGIN");%>​​​​​​​

方式二:单个项目生效:

1.在src目录下建一个包,命名为filter。在包里建类名为FrameTao。内容如下:

package filter;
 
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
public class FrameTao implements Filter {
 
 	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
		//必须
	        HttpServletRequest request = (HttpServletRequest) req;  
        	HttpServletResponse response = (HttpServletResponse) res;  
		//实际设置
		response.setHeader("x-frame-options", "SAMEORIGIN");  
		//调用下一个过滤器(这是过滤器工作原理,不用动)
		chain.doFilter(request, response);
	}  
 
	public void init(FilterConfig config) throws ServletException {
	}
	
	public void destroy() {
	}

}

2.在web.xml文件下添加以下内容:

<!-- 设置Frame头,防止被嵌套 -->
<filter>  
    <filter-name>FrameFilter</filter-name>  
    <filter-class>filter.FrameTao</filter-class>  
</filter>  
<filter-mapping>
    <filter-name>FrameFilter</filter-name>  
    <url-pattern>/*</url-pattern>
</filter-mapping>

方式三:服务器(tomcat)上所有项目生效:

tomcat目录/conf/web.xml中的搜索httpHeaderSecurity配置(低版本不支持,需Tomcat 7.0.69以上),将其前面的注释去掉即可。

<filter-mapping>
	<filter-name>httpHeaderSecurity</filter-name>
	<url-pattern>/*</url-pattern>
	<dispatcher>REQUEST</dispatcher>
</filter-mapping>
<filter>
	<filter-name>httpHeaderSecurity</filter-name>
	<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
	<init-param>
		<param-name>antiClickJackingOption</param-name>
		<param-value>ALLOW-FROM</param-value>
	</init-param>
	<init-param>
		<param-name>antiClickJackingUri</param-name>
		<!-- 设置允许嵌套的域名,*表示所有 -->
		<param-value>*</param-value>
	</init-param>
	<async-supported>true</async-supported>
</filter>

(复检)启动服务器。
打开火狐浏览器,打开你的此项目任一网页。
右键查看元素:

鄂ICP备19018033号-1
0.061797s