톰캣 서버에서의 x-frame-option 적용(anti click jacking)

톰캣(tomcat) 서버에서의 x-frame-option 적용 방법 입니다.

* 톰캣 버전이 7 이상인 경우부터 적용 가능합니다.

 

톰캣에서의 HttpHeaderSecurityFilter 클래스를 web.xml에 적용을 하면 쉽게 설정을 할 수 있습니다.

HttpHeaderSecurityFilter 클래스는 filter 인터페이스를 상속받고 있으므로 web.xml에서 필터의 노드로 표기합니다.

아래는 설정방법 입니다.

* 대상 : 어플리케이션의 web.xml 파일

<filter>
	<filter-name>원하는이름</filter-name>
	<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
	<init-param>
		<param-name>antiClickJackingOption</param-name>
		<param-value>SAMEORIGIN</param-value>
	</init-param>
</filter>

<filter-mapping>
	<filter-name>원하는이름</filter-name>
	<url-pattern>원하는패턴</url-pattern>
</filter-mapping>

 

요렇게 설정을 하고나면  <frame>, <iframe>, <object> 같은 html 엘리먼트에 악성페이지의 실행을 원천적으로 차단 할 수가 있습니다.

원하는 패턴에 모든 패턴을 적용하려면 아래처럼 입력하여 주면 됩니다.

<url-pattern>/*</url-pattern>

 

이상으로 톰캣 서버에서의 x-frame-option 적용(anti click jacking)에 대해서 살펴보았습니다.

문의사항 또는 틀린부분은 언제든 알려주세요! 👻