Включение заголовков для повышения безопасности ПО

Статья описывает процесс включения заголовков для повышения безопасности ПО для Tomcat / Libercat. Включение заголовков необходимо, если сканер для поиска уязвимостей выдает следующие предупреждения:

• Отсутствует заголовок (Header) для защиты от кликджекинга

• Заголовок Strict-Transport-Security не установлен

• Заголовок Content Security Policy (CSP) не задан

• Заголовок X-Content-Type-Options отсутствует

Для включения заголовков отредактируйте файл APP_DIR/conf/web.xml.

1. Измените/обновите фильтр «httpHeaderSecurity», указав следующие значения:

   <filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
        <init-param>
             <param-name>hstsEnabled</param-name>
             <param-value>true</param-value>
        </init-param>
        <init-param>
             <param-name>hstsMaxAgeSeconds</param-name>
             <param-value>31536000</param-value>
        </init-param>
        <init-param>
             <param-name>hstsIncludeSubDomains</param-name>
             <param-value>true</param-value>
        </init-param>
        <init-param>
             <param-name>antiClickJackingOption</param-name>
             <param-value>SAMEORIGIN</param-value>
        </init-param>
   </filter>
   

2. Раскомментируйте секцию ниже:

   <filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
   </filter-mapping>
   

3. Перезапустите сервер.