堆棧內存溢出
  簡體   English   中英

使用 Spring Boot 應用程序啟用 HTTP 嚴格傳輸安全 (HSTS)

[英]Enable HTTP Strict Transport Security (HSTS) with spring boot application

 原文  2018-05-24 14:19:47       java/ spring/ spring-boot/ spring-security/ hsts

問題描述

我已按照文章https://docs.spring.io/spring-security/site/docs/4.0.2.RELEASE/reference/html/headers.html#headers-hsts在我的 Spring Boot 應用程序上啟用 HSTS 標頭。 盡管進行了必要的更改,但Strict-Transport-Security標頭並未出現響應。

pom.xml(依賴項)

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-actuator</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
    </dependency>
</dependencies>

WebSecurityConfig.java

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
        .headers()
            .httpStrictTransportSecurity()
                .includeSubDomains(true)
                .maxAgeInSeconds(31536000);
    }
}

標題列表:

cache-control →no-cache, no-store, max-age=0, must-revalidate
content-language →en-GB
content-type →text/html;charset=UTF-8
date →Thu, 24 May 2018 14:10:29 GMT
expires →0
pragma →no-cache
transfer-encoding →chunked
x-application-context →application:9000
x-content-type-options →nosniff
x-frame-options →SAMEORIGIN
x-xss-protection →1; mode=block

我錯過了什么嗎?

3 個解決方案

解決方案1
 14 已采納  2018-11-28 15:12:00

根據 RFC6797,HSTS 標頭僅注入到 HTTPS 響應中。

來源: https ://docs.spring.io/spring-security/site/docs/4.0.2.RELEASE/reference/htmlsingle/#headers-hsts

解決方案2
 4  2018-06-21 11:47:11

它只會在通過 HTTPS 的第一個請求之后出現。

解決方案3
 0  2022-06-02 16:54:17

如其他答案中所述, HstsConfig中使用的默認RequestMatcher正在檢查請求是否為 HTTPS。 如果它不適合您,您可以設置另一個匹配器,因為 TLS 不會被 Spring Boot 終止。

下面的代碼確保在所有響應中都設置了Strict-Transport-Security標頭:

    http.headers()
          .httpStrictTransportSecurity()
          .requestMatcher(AnyRequestMatcher.INSTANCE)
          ...

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Spring Strict Transport Security(HSTS)配置不起作用 無法在 Spring Boot 中設置 Strict-Transport-Security 標頭 HSTS header(嚴格傳輸安全)並非總是如此。 (有時得到有時沒有) Spring Boot應用程序的安全性 在 Spring Boot 中啟用 Http 緩存 Spring boot 啟用 http/2 協議 在 Jetty 上為 Spring Boot 啟用 HTTP/2 在 Spring 啟動應用程序中啟用 SSL 在 spring-boot 應用程序中啟用 X-Frame-Options header(沒有 spring 安全性) 如何在 Spring Boot Security 中啟用或禁用用戶
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM