#security #jboss #jboss6.x
#Безопасность #jboss #jboss6.x
Вопрос:
Нам нужно исправить уязвимость в JBoss EAP 6.4, которая связана с не обнаруженным заголовком безопасности HTTP (QID 11827).
Об этой уязвимости сообщается на уровне сервера приложений, а не на IHS. Все предложения онлайн предназначены для JBoss EAP 7.x (подсистема undertow) и не применимы к JBoss EAP 6.4 (веб-подсистема).
Я попытался добавить фильтры в веб-подсистему, в standalone.xml , но это не сработало. Вероятно, я не использую правильный формат / синтаксис.
Пожалуйста, сообщите.
Комментарии:
1. Привет, вы смогли решить эту проблему?
Ответ №1:
Вышеупомянутый QID (11827) обнаруживается, когда отсутствуют следующие заголовки HTTP:
- X-Frame-Параметры
- X-XSS-защита HTTP
- X-Content-Type-Options
- Строгий-Транспорт-Безопасность
Хороший и простой способ установить заголовки тезисов — это реализовать пользовательский фильтр. Пожалуйста, обратите внимание, что это для конкретного веб-приложения!
Если вы хотите установить эти заголовки http глобально, вы должны реализовать пользовательский valve!
Комментарии:
1. Спасибо за ваш ответ. Но я не смог добавить пользовательские фильтры в standalone.xml . Похоже, синтаксис неверен, из-за чего JBoss не перезапускается. Сможете ли вы предоставить образец пользовательского фильтра для JBoss 6.4? Это было бы большим подспорьем.
2. Вы должны разработать пользовательский фильтр, а затем вам нужно поместить этот jar в папку lib веб-приложения!