在 JBoss EAP 6.4 中没有检测到 HTTP 安全头

Posted

技术标签:

【中文标题】在 JBoss EAP 6.4 中没有检测到 HTTP 安全头【英文标题】:HTTP Security Header Not Detected in JBoss EAP 6.4 【发布时间】:2021-01-26 08:57:42 【问题描述】:

我们需要修复 JBoss EAP 6.4 中与 HTTP Security Header Not Detected (QID 11827) 相关的漏洞。

此漏洞是在应用服务器层报告的,而不是在 IHS 上报告的。 网上所有的建议都是针对 JBoss EAP 7.x(undertow 子系统)的,不适用于 JBoss EAP 6.4(web 子系统)。

我尝试在 WEB 子系统下的standalone.xml 中添加过滤器,但没有成功。可能我没有使用正确的格式/语法。

请指教。

【问题讨论】:

【参考方案1】:

当以下 HTTP 标头缺失时检测到上述 QID (11827):

X 框架选项 X-XSS-保护 HTTP X-Content-Type-Options 严格的传输安全

设置这些标头的一种简单易用的方法是实现自定义过滤器。请注意,这是针对特定 Web 应用程序的!

如果你想全局设置这些http头,那么你必须实现一个自定义阀门

【讨论】:

感谢您的回复。但我无法在standalone.xml 中添加自定义过滤器。看起来语法不正确,因此 JBoss 不会重新启动。您能否为 JBoss 6.4 提供一个示例自定义过滤器?这将是一个很大的帮助。 你必须开发一个自定义过滤器,然后你需要把这个jar放在web应用程序的lib文件夹中!

以上是关于在 JBoss EAP 6.4 中没有检测到 HTTP 安全头的主要内容,如果未能解决你的问题,请参考以下文章

JBoss EAP 6.4 Infinispan 集群缓存网络问题

从Jboss EAP 6.4迁移到EAP 7.1

在 JBOSS EAP 6.4 中,上下文根目录自动更改为临时文件夹名称

如何定义 JBoss 安全角色 - 从 WebSphere 迁移到 EAP 6.4

在 Eclipse Luna 中配置 jboss-eap-6.4 服务器时分配正确的主目录时出错

无法在 Jboss-eap-6.4 中部署 Spring Boot 应用程序