Segurança do Jetty

O framework implementa camadas adicionais de segurança para proteger o servidor contra abusos e ataques comuns através de filtros automáticos.

Proteção contra Clickjacking

O ClickjackingFilter injeta automaticamente headers de segurança para evitar que as páginas do framework sejam carregadas dentro de frames ou iframes em domínios não autorizados.

Parâmetros de Configuração

Exemplos de Configuração

Abaixo estão exemplos de como configurar as chaves de Clickjacking no config.ini para diferentes cenários:

1. Totalmente Negado (Proteção Máxima)

Bloqueia a renderização em qualquer frame, mesmo que seja do próprio domínio.

clickjacking.xFrameOptions=DENY
clickjacking.cspFrameAncestors='none'

2. Permitido Apenas para o Próprio Domínio (Padrão)

Permite que a página seja incluída em frames apenas por páginas do mesmo domínio.

clickjacking.xFrameOptions=SAMEORIGIN
clickjacking.cspFrameAncestors='self'

3. Permitido para Origens Específicas

Permite a inclusão em frames por domínios confiáveis específicos.

# X-Frame-Options não suporta múltiplas origens de forma padronizada, 
# recomenda-se usar CSP para este cenário.
clickjacking.xFrameOptions=ALLOW-FROM https://meudominio.com
clickjacking.cspFrameAncestors='self' https://meudominio.com https://outrodominio.org

Segurança de Cookies e Sessão

O framework configura cookies de sessão com atributos de segurança por padrão quando em contextos Web:

-**HttpOnly:**Impede que scripts do lado do cliente acessem o cookie de sessão, mitigando ataques de XSS. -**Secure:**Garante que o cookie só seja enviado através de conexões HTTPS. -**Max-Age:**Configurável via http.secure.max-age.