Peut Tomcat 7 être configuré pour insérer “Content-Security-policy” HTTP en-tête?

Peut Tomcat 7 être configuré pour insérer Content-Security-Policy: frame-ancestors 'self' en-tête HTTP à chaque réponse, comme on peut insérer d'autres liées à la sécurité, en-têtes, par exemple X-Frame-Options?

OriginalL'auteur Peter Klimczak | 2016-05-18

  1. 10

    Une fois qu'il ne peut pas être réalisé avec Tomcat 7.x construit dans les filtres, vous pouvez essayer l'une des options suivantes:

    Créer un filtre dans votre application

    Si l'ajout d'un filtre pour votre application est une option, vous pouvez utiliser le code suivant pour ajouter un en-tête pour chaque réponse:

    @WebFilter("/*")
public class MyFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, 
                         FilterChain chain) throws IOException, ServletException {

        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setHeader("Content-Security-Policy", "frame-ancestors 'self'");

        chain.doFilter(request, response);
    }
}

    La création d'une coutume de soupape de votre Tomcat

    Une autre option est une coutume de la valve. Citant les étapes de cette page:

    1. Créer une Application Java Maven.

    2. Ajouter la dépendance suivant:

    <dependency>
    <groupid>org.apache.tomcat</groupId>
    <artifactid>tomcat-catalina</artifactId>
    <version>7.0.34</version>
    <scope>provided</scope>
 </dependency>

    1. Créer votre classe Java et de l'étendre à partir de ValveBase.

    2. Mettre en œuvre les invoke(Request, Response) méthode.

    3. Construire votre bibliothèque (.jar) fichier

    4. Installer la bibliothèque dans le ${tomcat.home}/lib répertoire.

    5. Configurer le server.xml pour l'utilisation de votre nouveau robinet. Par exemple:

    <valve className="com.example.MyValve"/>
    1. Lancer le serveur pour voir votre nouveau robinet en action

    Votre vanne de mise en œuvre pourrait être:

    public class MyValve extends ValveBase {

    @Override
    public void invoke(Request request, Response response) throws IOException, 
                                                                  ServletException {

        HttpServletResponse httpResponse = response.getResponse();
        httpResponse.setHeader("Content-Security-Policy", "frame-ancestors 'self'");

        getNext().invoke(request, response);
    }
}
    Merci pour la réponse. Je devrais avoir mentionné "sans changement de code".
    Je pense que la coutume de la valve peut faire l'affaire. Je vais mettre à jour ma réponse.
    Merci de voir mon jour de réponse.

    OriginalL'auteur cassiomolin