Untuk mengaktifkan filter keamanan di tomcat tambahkan baris di bawah ini di tomcat_home / conf / web.xml
<filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <async-supported>true</async-supported> <init-param> <param-name>antiClickJackingOption</param-name> <param-value>SAMEORIGIN</param-value> </init-param> <!-- this option only works in tomcat 7.0.70 and above--> <init-param> <param-name>xssProtectionEnabled</param-name> <param-value>true</param-value> </init-param> <!-- true represents 1; mode=block --> </filter> <filter-mapping> <filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
Catatan:
- Beberapa opsi antiClickJackingOption :
- X-Frame-Options respons header meningkatkan perlindungan aplikasi web againg Clickjacking.it digunakan untuk menunjukkan apakah atau tidak browser harus diizinkan untuk membuat halaman dalam bingkai, iframe atau objek.
- DENY Halaman tidak dapat ditampilkan dalam bingkai, terlepas dari situs yang berusaha melakukannya.
- SAMEORIGIN Halaman hanya dapat ditampilkan dalam bingkai dengan asal yang sama dengan halaman itu sendiri.
- ALLOW-FROM uri Halaman hanya dapat ditampilkan dalam bingkai pada asal yang ditentukan.
- X-XSS-Protection memungkinkan filter cross-site scripting (XSS) di browser.
1; mode = blok mewakili Filter diaktifkan. Daripada membersihkan halaman, ketika serangan XSS terdeteksi, browser akan mencegah rendering halaman