ClickJacking 过滤器添加 X-FRAME-OPTIONS 作为响应

Posted 2023-02-26

【中文标题】ClickJacking 过滤器添加 X-FRAME-OPTIONS 作为响应

【英文标题】：ClickJacking Filter to add X-FRAME-OPTIONS in response

【发布时间】：2012-07-07 11:25:58

【问题描述】：

为了解决 clickJacking 和阻止我的网站被 iframe 打开的问题，我创建了一个 servlet 过滤器，我在其中添加以下行以添加“X-FRAME-OPTIONS”响应标头。但是，当我运行页面并查看该页面的响应标头时，我从未在其中获得此标头。知道为什么吗？

public void doFilter(
        ServletRequest request, ServletResponse response, FilterChain chain
        ) throws IOException, ServletException
    

        HttpServletResponse res = (HttpServletResponse)response;
        chain.doFilter(request, response);

        //Specify the mode
        res.addHeader("X-FRAME-OPTIONS", "DENY");
    

【问题讨论】：

您是否尝试将标题行放在 chain.filter 行之前？

【参考方案1】：

您需要在调用doFilter 之前添加标题。当控制从doFilter 返回时，标头和正文已经发送，因此您的addHeader 将被忽略。