我正在尝试在Tomcat中启用HttpHeaderSecurityFilter过滤器以对抗点击攻击。我想将此应用于所有应用程序,因此未注释默认的< filter>和< filter-mapping> Tomcat自己的conf / web.xml文件中此过滤器的条目。
这似乎完全被Tomcat忽略了,但据我所知。我将META-INF / context.xml文件添加到我的一个Web应用程序中,如下所示,以便在将conf / web.xml文件与应用程序合并后,查看Tomcat用于应用程序的有效web.xml文件。自己的文件。
<?xml version="1.0" encoding="utf-8" standalone="no"?>
<Context logEffectiveWebXml="true"></Context>
catalina.log中的结果输出看起来有效(两个文件的内容合并),但缺少conf / web.xml中的过滤条目。我尝试在那里引入我自己的附加过滤条目,发现这些条目也没有出现在有效的web.xml中。
如果我将HttpHeaderSecurityFilter过滤器和过滤器映射条目复制到Web应用程序自己的web.xml文件中,它可以正常工作(但这显然不是我想要的!)
是否有一些技巧让Tomcat尊重conf / web.xml中的过滤条目?
我最终需要在Tomcat 7和8中使用它。(我知道内置过滤器仅在Tomcat 7.0.63中添加。)
答案 0 :(得分:0)
最终,这个过滤器开始为我工作而没有任何特别的改变(非常不满意的分辨率,但......)。它有可能从一开始就起作用,尽管我已经合理地确定我已经观察到页面在iframe中成功加载,并且过滤器最初就位。现在还不确定。
对其他人来说可能有用的发现是,即使我能够验证过滤器是否正常工作,有效的web.xml日志输出也从未包含过滤器详细信息。这似乎是某种Tomcat错误。 (注意,我只测试了Tomcat 8上有效的web.xml日志。)