公司專案 漏洞修復 有一條 “點選劫持：X-Frame-Options未配置”，在網上查了很多資料 基本上都是下面的內容

使用 X-Frame-Options 有三個可選的值：

1. DENY：瀏覽器拒絕當前頁面載入任何Frame頁面
2. SAMEORIGIN：frame頁面的地址只能為同源域名下的頁面
3. ALLOW-FROM：origin為允許frame載入的頁面地址

Apache配置：

1. Header always append X-Frame-Options SAMEORIGIN

nginx配置：

1. add_header X-Frame-Options SAMEORIGIN;

IIS配置：

1. <system.webServer>
2. ...
3. <httpProtocol>
4. <customHeaders>
5. <addname="X-Frame-Options"value="SAMEORIGIN"/>
6. </customHeaders>
7. </httpProtocol>
8. ...
9. </system.webServer>

公司專案是隻用了tomcat作為web伺服器 ,網上搜的的內容好像並不符合我的要求。

本來的想法是在每個jsp頁面中加

<%
  response.addHeader("x-frame-options","SAMEORIGIN");
 
   %>

可後來想想這種方法太蠢，萬一過不了測試還要改過來。

於是又想到了一個方法，在專案原本的過濾器中加了如下程式碼

HttpServletResponse response = (HttpServletResponse) sResponse;
  response.addHeader("x-frame-options","SAMEORIGIN"); 

貌似起了作用  等待客戶測試吧！