启用了不安全的HTTP方法(禁用put、delete调用方式,尽量只使用post方式 内网可以用get)
危害:这些方法表示可能在服务器上使用了 WebDAV。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。
解决方法:如果服务器不需要支持 WebDAV,请务必禁用它。
解决方法所有控制层方法上加入限制,只允许get和post方式调用:
@RequestMapping(value="/login",method ={RequestMethod.GET, RequestMethod.POST})
危害:造成钓鱼等风险。
解决方法:使用http头—X-frame-option
使用Filter 过滤所有请求,set 请求头
package com.unicom.sh.pom.filter;
/**
* Created by sh-yangsx on 2019/2/12.
*
* @Author yangsx
* @date 2019/2/12
*/
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.Filter;
/**
*@ClassName ClickFilter
*@Description TODD
*@AUTHOR yangsx
*@Date 2019/2/129:03
*@Version 1.0
**/
public class ClickFilter implements Filter{
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
//必须
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
//实际设置
response.setHeader("x-frame-options", "SAMEORIGIN");
//调用下一个过滤器(这是过滤器工作原理,不用动)
chain.doFilter(request, response);
}
public void init(FilterConfig config) throws ServletException {
}
public void destroy() {
}
}
再有web安全问题,会一直记录下来。