Я хочу предотвратить атаку кликджекинга в приложениях Vaadin 7 и 8. Поскольку приложения Vaadin по умолчанию предназначены для встраивания , для повышения безопасности требуется некоторая конфигурация или код.
Вот мой первый эксперимент, который добавляет X-Frame Заголовок -Options для каждого ответа, чтобы заставить браузер использовать ту же политику происхождения.
public class MyVaadinServlet extends VaadinServlet {
@Override
protected void service(HttpServletRequest request,
HttpServletResponse response) throws ServletException, IOException {
// add clickjacking prevention
response.addHeader("X-Frame-Options", "SAMEORIGIN");
super.service(request, response);
}
}
Я хотел бы знать, есть ли лучшие решения для приложений vaadin, существующие параметры конфигурации vaadin, о которых я не знаю, или есть ли у этой реализации недостатки или ограничения.
У нас есть Apache перед нашим приложением, но я не знаю, будет ли сложно добавить манипулирование заголовком туда вместо того, чтобы иметь его внутри самого приложения (где он может быть протестирован и легко изменен разработчиками).