Geekflare
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
By Chandan Kumar in Kater  |  Zuletzt aktualisiert: 6. September 2022
Teilen:

Wie aktiviere ich den sicheren HTTP-Header in Apache Tomcat 8?

Websicherheit
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Durch das Injizieren der HTTP-Antwort mit dem sicheren Header können die meisten Probleme behoben werden Sicherheitslücken im Web.

Wenn Sie eine Produktionsumgebung oder eine zahlungsbezogene Anwendung verwalten, werden Sie auch vom Sicherheits- / Penetrationstest-Team aufgefordert, den erforderlichen HTTP-Header zu implementieren, um den PCI-DSS-Sicherheitsstandard zu erfüllen.

Wenn Sie einen sicheren Header haben, weisen Sie den Browser an, bestimmte Dinge zu tun oder nicht zu tun bestimmte Sicherheitsangriffe verhindern.

Die meisten von Ihnen verwenden möglicherweise einen Webserver wie Apache, Nginx, IIS vor Tomcat Implementieren Sie die Header direkt auf dem Webserver.

Wenn Sie jedoch keinen Webserver vor sich haben oder direkt in Tomcat implementieren müssen, dann eine gute Nachricht Wenn Sie Tomcat 8 verwenden.

Tomcat 8 bietet Unterstützung für die folgenden HTTP-Antwortheader.

  • X-Frame-Optionen - um Clickjacking-Angriffe zu verhindern
  • X-XSS-Schutz - um Cross-Site-Scripting-Angriffe zu vermeiden
  • X-Content-Type-Options - Blockieren Sie das Sniffing von Inhaltstypen
  • HSTS - Fügen Sie strenge Transportsicherheit hinzu

Ich habe mit getestet Apache Tomcat 8.5.15 on Digitale Ozean Linux (CentOS Distribution) Server.

Hinweis: Wenn Sie auf der Suche nach allgemeiner Härtung und Sicherheit sind, können Sie dies tun Lesen Sie diese Anleitung.

Als Best Practice Erstellen Sie ein Backup der erforderlichen Konfigurationsdatei, bevor Änderungen vorgenommen oder in einer Nicht-Produktionsumgebung getestet werden.

  • Melden Sie sich beim Tomcat-Server an
  • Wechseln Sie in den Ordner conf unter dem Pfad, in dem Tomcat installiert ist
  • Kommentieren Sie den folgenden Filter aus (standardmäßig ist er kommentiert).
    httpHeaderSecurity org.apache.catalina.filters.HttpHeaderSecurityFilter wahr

Wenn Sie oben einen Kommentar abgeben, weisen Sie Tomcat an, den HTTP-Header-Sicherheitsfilter zu unterstützen.

  • Fügen Sie Folgendes direkt nach dem obigen Filter hinzu
httpHeaderSecurity / *

Durch Hinzufügen von oben weisen Sie Tomcat an, den HTTP-Header in die gesamte Anwendungs-URL einzufügen.

  • Starten Sie den Tomcat neu und greifen Sie auf die Anwendung zu, um die Header zu überprüfen.

Sie können eine verwenden Online-Tool zur Überprüfung der Kopfzeile oder verwenden Sie F12 in einem Browser zur Überprüfung.

Hier ist eine kurze Filterreferenz aus einer web.xml-Datei.

 
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
 

Das Aktivieren des sicheren Headers in Tomcat 8 ist unkompliziert. Als Administrator sollten Sie planen, diese für eine bessere Sicherheit zu implementieren.

Wenn Sie neu bei Tomcat sind, könnten Sie daran interessiert sein Apache Tomcat Administrationskurs.

Danke an unsere Sponsoren
Weitere großartige Lesungen auf Tomcat
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • helle Daten
    Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush
    Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder
    Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder