我们需要修复JBoss EAP 6.4中的一个漏洞,该漏洞与未检测到HTTP安全标头(QID 11827(有关。
此漏洞是在应用程序服务器层报告的,而不是在IHS上报告的。所有在线建议都是针对JBoss EAP7.x(understream子系统(的,不适用于JBoss EAP 6.4(web子系统(。
我曾尝试在standalone.xml的WEB子系统下添加过滤器,但没有成功。可能我没有使用正确的格式/语法。
请告知。
当以下HTTP标头丢失时,检测到上述QID(11827(:
- X-Frame-Options
- X-XSS-Protection HTTP
- X-Content-类型选项
- 严格的运输安全
设置这些标题的一种简单方法是实现自定义过滤器。请注意,这是针对特定的web应用程序!
如果要在全局范围内设置这些http头,则必须实现自定义阀!