Untuk mengaktifkan filter keamanan di tomcat tambahkan baris di bawah ini di tomcat_home / conf / web.xml
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<async-supported>true</async-supported>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
<!-- this option only works in tomcat 7.0.70 and above-->
<init-param>
<param-name>xssProtectionEnabled</param-name>
<param-value>true</param-value>
</init-param>
<!-- true represents 1; mode=block -->
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Catatan:
- Beberapa opsi antiClickJackingOption :
- X-Frame-Options respons header meningkatkan perlindungan aplikasi web againg Clickjacking.it digunakan untuk menunjukkan apakah atau tidak browser harus diizinkan untuk membuat halaman dalam bingkai, iframe atau objek.
- DENY Halaman tidak dapat ditampilkan dalam bingkai, terlepas dari situs yang berusaha melakukannya.
- SAMEORIGIN Halaman hanya dapat ditampilkan dalam bingkai dengan asal yang sama dengan halaman itu sendiri.
- ALLOW-FROM uri Halaman hanya dapat ditampilkan dalam bingkai pada asal yang ditentukan.
- X-XSS-Protection memungkinkan filter cross-site scripting (XSS) di browser.
1; mode = blok mewakili Filter diaktifkan. Daripada membersihkan halaman, ketika serangan XSS terdeteksi, browser akan mencegah rendering halaman
