Предотвращение атаки кликджеков Ваадином

Я хочу предотвратить атаку с помощью clickjacking в приложениях Vaadin 7 и 8. Поскольку приложения Vaadin по умолчанию предназначены для встраиваемости, для обеспечения безопасности требуется некоторая конфигурация или код.

Вот мой первый эксперимент, который добавляет заголовок X-Frame-Options к каждому ответу, чтобы заставить браузер использовать ту же политику происхождения.

public class MyVaadinServlet extends VaadinServlet {

  @Override
  protected void service(HttpServletRequest request,
      HttpServletResponse response) throws ServletException, IOException {

        // add clickjacking prevention
        response.addHeader("X-Frame-Options", "SAMEORIGIN");

        super.service(request, response);
  }

}

Я хотел бы знать, есть ли лучшие решения для приложений vaadin, существующие параметры конфигурации vaadin, которые я не знаю, или у этой реализации есть недостатки или ограничения.

У нас есть Apache перед нашим приложением, но я не знаю, было бы хрупко добавить туда манипулирование заголовками вместо того, чтобы иметь его внутри самого приложения (где его могут легко протестировать и изменить разработчики).