http的请求头和响应头安全漏洞bug修改

一、背景环境

系统部署Windows环境,使用的是Tomcat,同时启动前后端一起的。

想不到吧!Win11当服务器,部署网站

二、安全扫描

三、可行性方案

四、终极方案

java 复制代码
response.setHeader("X-Permitted-Cross-Domain-Policies", "master-only");
response.setHeader("X-Download-Options", "noopen");
response.setHeader("Referrer-Policy", "no-referrer-when-downgrade");
response.setHeader("Strict-Transport-Security", "max-age=31536000;includeSubDomains");
response.setHeader("X-Content-Type-Options", "nosniff");
response.setHeader("X-XSS-Protection", "1; mode=block");
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Methods", "*");
response.setHeader("Access-Control-Max-Age", "1728000");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
response.addHeader("X-Frame-Options","sameorigin");
response.addHeader("Content-Security-Policy","default-src *; script-src * 'unsafe-inline' 'unsafe-eval';style-src * 'unsafe-inline' 'unsafe-eval'; img-src * 'unsafe-inline'; font-src *; media-src *;object-src * ");

五、验证结果

相关推荐
草根站起来7 小时前
“双算法SSL证书”伪方案、国产SSL证书营销话术与等保绑定乱象批判
网络·网络协议·ssl
江华森10 小时前
Web 开发基础:HTTP 与 REST
前端·网络协议·http
her_heart12 小时前
把 ChatGPT 5.6 放进需求评审和测试设计之后,我反而减少了“一次成稿”的期待
网络·人工智能·网络协议·chatgpt·测试用例
coderhuo19 小时前
libcurl blind sleep导致的耗时问题
网络协议
treesforest19 小时前
做内容平台,IP地址精准定位和IP高精度定位查询怎么帮我们提升用户留存
网络·网络协议·tcp/ip
wang_shu_mo_ran21 小时前
网络编程(二):UDP数据报在客户端与服务端之间的传输
网络·网络协议·udp
永久鳕21 小时前
WebSocket 连接成功但行情不更新,应该先查哪几个状态?
网络·websocket·网络协议
mudtools21 小时前
HttpUtils:一个编译时生成的声明式 HTTP 客户端框架
网络·网络协议·http·.net
卖萌的斜阳1 天前
W55MH32L-EVB 上手测评:硬件 TCP/IP 加持的以太网单片机,MicroPython 零门槛开发
单片机·网络协议·tcp/ip
用户8334423966141 天前
Qt6 实现 TCP/UDP/组播 透明中继抓包工具 | 流量录制回放 | 工业设备调试
网络协议