1.http 安全标记HTTP 响应头缺失 X-Content-Type-Options、X-XSS-Protection 、 Content-Security-Policy解决方案方式1全局配置进入${tongweb.home}/conf文件夹编辑tongweb.xml在名为server的virtual-host属性下(虚拟主机)增加如下配置property namexssProtectionEnabled valuetrue/property nameblockContentTypeSniffingEnabled valuetrue/property nameContent-Security-Policy valuedefault-src self unsafe-inline unsafe-eval;connect-src self/方式2应用配置某些应用根据安全需求需要在http头上增加X-Content-Type-Options、X-XSS-Protection、 Content-Security-Policy 等安全信息。可在应用中加 filter2.cookie 安全标记2.1 缺少httponly属性禁止JavaScript读取Cookie注意如果是在https环境下直接在第4步配置解决方案全局配置进入tongweb安装包conf文件夹在default-web.xml增加配置session-configcookie-confighttp-onlytrue/http-only !-- 开启 HttpOnly --/cookie-config/session-config示例2.2 缺少secure属性限制Cookie只能在https上传输注意事项http环境下cookie会失效(浏览器不会发送)需确保应用已部署在https环境中。解决方案(全局配置)​​进入tongweb安装包conf文件夹在default-web.xml增加配置session-configcookie-confighttp-onlytrue/http-only !-- 开启 HttpOnly --securetrue/secure !-- 开启 Secure 属性 --/cookie-config/session-config示例