Click jacking и отсутствует заголовок безопасности http Vaadin

Недавно у нас был консультант по безопасности, который взглянул на наше приложение, созданное с использованием vaadin. Мы все еще на version 6. Ниже приведены советы по внедрению

  • X-Frame-Options в шапке.
  • Content-Security-Policy: скрипт-src'self
  • Параметры X-Content-Type: nosniff
  • X-FrameOptions: SAMEORIGIN
  • Настройте веб-сервер для включения заголовка ответа-X-XSS-Protection: 1; mode = block

У меня вопрос, учитывая, что Ваадин уделяет внимание безопасности, как Ваадин справляется с этой ситуацией?

в официальной документации по vaadin по 6 версии информации нет. Также нашел это решение, но не уверен, сработает оно или нет. Также на форуме vaadin для этого нет ветки решения.


security websecurity vaadin vaadin6 clickjacking
person Amol Bais    schedule 01.07.2020    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Эти заголовки не находятся непосредственно в сфере влияния Ваадина. Теоретически Vaadin может добавлять такие заголовки к ответам, которыми он управляет, но есть также некоторые сценарии, когда некоторые из них не подходят, поэтому они не добавляются по умолчанию.

По этой причине я бы рекомендовал вам настроить среду хостинга (например, балансировщик нагрузки или сервер приложений), чтобы включить нужные вам значения заголовков во все соответствующие ответы. Другой альтернативой является создание простого фильтра сервлетов, который добавляет заголовки. Вариант этого описан в ответе, на который вы ссылались.

person Leif Åstrand    schedule 01.07.2020