如何在 Apache Tomcat 8 中启用安全 HTTP 标头？

注入带有安全标头的 HTTP 响应可以缓解大多数 Web 安全漏洞。

如果您管理生产环境或与支付相关的应用程序，您的安全/渗透测试团队将要求您实现所需的 HTTP 标头以符合 PCI-DSS 安全标准。

安全标头允许您告诉浏览器执行或不执行某些操作，以防止某些安全攻击。

大多数人在使用 Tomcat 之前都使用 Apache、Nginx 或 IIS 等 Web 服务器，因此他们很可能直接在 Web 服务器上实现标头。

但是，如果您面前没有 Web 服务器，或者需要直接在 Tomcat 中实现它，那么如果您使用 Tomcat 8，那么这是个好消息。

Tomcat 8 添加了对以下 HTTP 响应标头的支持：

• X-Frame-Options – 防止点击劫持攻击
• X-XSS-Protection – 避免跨站点脚本攻击。
• X-Content-Type-Options – 阻止内容类型嗅探
• HSTS – 增加严格的运输安全

在Digital Ocean Linux（CentOS 发行版）服务器上使用Apache Tomcat 8.5.15进行测试。

注意：如果您正在寻求整体强化和安全性，请参阅本指南。

最佳实践是，在非生产环境中进行更改或测试之前备份所有必需的配置文件。

• 登录Tomcat服务器
• 导航到 Tomcat 安装路径下的 conf 文件夹。
• 取消注释以下过滤器（默认情况下已注释）：

     
        httpHeaderSecurity
        org.apache.catalina.filters.HttpHeaderSecurityFilter
        true
     

取消注释上述内容将指示 Tomcat 支持 HTTP 标头安全过滤器。

• 在上述过滤器之后立即添加以下内容

 
    httpHeaderSecurity
    /*
 

添加以上内容告诉 Tomcat 将 HTTP 标头插入到所有应用程序 URL 中。

• 重新启动 Tomcat，访问您的应用程序并检查标头。

您可以使用在线工具检查标头或在浏览器中使用 F12 来检查它们。

下面是从 web.xml 文件中获取的过滤器的快速参考。

在 Tomcat 8 中启用安全标头非常简单。管理员应计划实施安全标头以提高安全性。

如果您是 Tomcat 新手，您可能有兴趣参加此Apache Tomcat 管理课程。