缺少“X-XSS-Protection”头问题

zwp2005 2018-09-13 09:09:40

AppScan检测问题：
缺少“Content-Security-Policy”头 5
缺少“X-Content-Type-Options”头 5
缺少“X-XSS-Protection”头 5

一、修改：tomcat web.xml ，加了如下filter，
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<async-supported>true</async-supported>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>*.jsp</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
</filter-mapping >

二、启动后，报如下问题，不加这个filter就没有问题，用的是（springMVC ，hibernate）
spring的core jar包，lib目录下是有的。

九月 13, 2018 9:10:57 上午 org.apache.catalina.startup.Catalina start
信息: Server startup in 13413 ms
九月 13, 2018 9:10:59 上午 org.apache.catalina.loader.WebappClassLoader loadClass
信息: Illegal access: this web application instance has been stopped already. Could not load org.springframework.core.NestedExceptionUtils. The eventual following stack trace is caused by an error thrown for debugging purposes as well as to attempt to terminate the thread which caused the illegal access, and has no functional impact.
java.lang.IllegalStateException
at org.apache.catalina.loader.WebappClassLoader.loadClass(WebappClassLoader.java:1612)
at org.apache.catalina.loader.WebappClassLoader.loadClass(WebappClassLoader.java:1571)
at org.springframework.core.NestedRuntimeException.<clinit>(NestedRuntimeException.java:45)
at org.springframework.scheduling.quartz.SchedulerFactoryBean$1.run(SchedulerFactoryBean.java:672)

Exception in thread "Quartz Scheduler [localQuartzScheduler]" java.lang.NoClassDefFoundError: org/springframework/core/NestedExceptionUtils
at org.springframework.core.NestedRuntimeException.<clinit>(NestedRuntimeException.java:45)
at org.springframework.scheduling.quartz.SchedulerFactoryBean$1.run(SchedulerFactoryBean.java:672)
Caused by: java.lang.ClassNotFoundException: org.springframework.core.NestedExceptionUtils
at org.apache.catalina.loader.WebappClassLoader.loadClass(WebappClassLoader.java:1720)
at org.apache.catalina.loader.WebappClassLoader.loadClass(WebappClassLoader.java:1571)
... 2 more

...全文

3312 2 打赏收藏转发到动态举报

写回复

2 条回复

切换为时间正序

请发表友善的回复…

发表回复

☔️云 2019-09-19

打赏
举报

回复

很不错的等等

weixin_43555593 2018-10-30

打赏
举报

回复

我试过用Tomcat7 不可以,会报类似的错,换成Tomcat8 就好了

外伤标头扩展这是firefox扩展名，它在转发到DNS服务器之前先解析请求，以扫描由于导致的易受攻击的URL。强调该扩展程序当前检测到容易受到攻击的URL CORS配置错误主机头注入缺少X-XSS-Protection标头（由于其严重性较低而在代码中进行了注释）点击劫持支持成就成就使用此工具向＃signup.com，#Chargify，#Hotstar，#Medium等网站提交了漏洞。已在#Chargify HOF中列出，其他组织正在解决此问题。屏幕截图安装方法1- 克隆仓库或将其分叉。打开Firefox并在URL栏中加载about:debugging 。

web安全测试之appscan – “X-XSS-Protection”头缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-test3Appscan是一款安全漏洞扫描软件，由IBM公司研发，后又被卖给了印度公司HCL。在web安全测试中，今天我们说下扫描结果中包含X-XSS-Protection请求头header的缺失或不安全的时候，我们该如何应对。风险：可能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感

课程声明：该课程是教学使用，视频内涉及漏洞利用方法，请勿在互联网环境中使用；维护互联网安全，人人有责。课程说明：课程为CISP-PTE子课程。课程目标：让开发工程师、运维工程师、安全工程师迅速构建XSS漏洞的知识体系实验所需环境：vmware；kali虚拟机一台；windows server一台；下载地址在课程资料中。课程主要解决问题： 1、搞明白什么是XSS，XSS有几个分类，分类的依据是什么？ 2、XSS能做什么事情？通过实验学习盗cookie、点击劫持、获取目标主机信息、键盘记录器、内网探测、 XSS-DDoS等等 3、搞明白XSS的漏洞代码到底是什么样？逐行读代码让你看透XSS。 4、XSS如何绕过？近20种绕过方式让你酣畅淋漓。 5、搞懂XSS的防御方法，不同种类的XSS防御有什么区别？如果有以上困惑，赶紧学习吧。Margin老师工作日一般都是30分钟就能为你解答疑惑。

HTTP X-XSS-Protection 响应头是 Internet Explorer，Chrome 和 Safari 的一个特性，当检测到跨站脚本攻击 (XSS)时，浏览器将停止加载页面。X-XSS-Protection响应头的缺失使得目标URL更易遭受跨站脚本攻击。

前言 xss攻击会导致网站的低危漏洞，需要进行防护漏洞呈现解决方法一: PHP配置设置在Header.php文件中添加如下内容: ··· … … header( “X-XSS-Protection: 1” ); … … ··· 方法二: nginx配置设置 ... ... server { ... ... add_header X-XSS-Protection 1; ... ... 结语 … … ...

Web开发应用服务器

5,655

社区成员

20,181

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章