用于在响应中添加X帧选项的ClickJacking筛选器

Question

为了处理clickJacking和阻止我的站点被iframe打开，我创建了一个servlet过滤器，在其中我添加了下面的行来添加"X-FRAME-OPTIONS“响应头。但是当我运行页面并看到该页面的响应头时，我永远不会在那里得到这个头。知道为什么吗？

public void doFilter(
        ServletRequest request, ServletResponse response, FilterChain chain
        ) throws IOException, ServletException
    {

        HttpServletResponse res = (HttpServletResponse)response;
        chain.doFilter(request, response);

        //Specify the mode
        res.addHeader("X-FRAME-OPTIONS", "DENY");
    }

Answer 1

在调用doFilter之前，您需要添加头部。在控制从doFilter返回时，标头和正文已经发送，因此您的addHeader将被忽略。