Http响应头配置在Kafka rest代理和模式注册表中不工作
我们正在使用confluent platform 5.3.1社区版。
最近,作为安全扫描的一部分,我们发现Kafka rest代理和架构注册表服务缺少http头(X-XSS-Protection,X-Content-Type-Options)安全漏洞。
根据汇合留档,我们可以在配置中添加response.http.headers.config属性来添加/设置所需的标头。
https://docs.confluent.io/platform/current/kafka-rest/production-deployment/rest-proxy/config.html https://docs.confluent.io/platform/current/schema-registry/installation/config.html
我们已经在相应的配置文件中添加了配置,并重新启动了服务。
在配置中添加的行
Rest代理
回答http。标题。config=addx-XSS-Protection:1;模式=块,添加X-Content-Type-Options:nosniff
模式注册表
回答http。标题。config=“添加缓存控制:无缓存,无存储,必须重新验证”,添加X-XSS-Protection:1;模式=块,添加严格的传输安全:最大年龄=31536000;包括子域,添加X-Content-Type-Options:nosniff
重新启动服务后,我们希望在响应中收到额外的http响应头,但仍然没有收到这些头。
请求:获取:http://xxxx:8082/
有没有建议在回复中获取缺少的标题。?提前谢谢
共有1个答案
在检查了合流Rest代理的源代码后。标识此属性(response.http.headers.config)添加在汇合平台6.0. x中。所以平台需要更新才能使用这个属性。
参考:https://cwiki.apache.org/confluence/display/KAFKA/KIP577:允许为Kafka Connect配置HTTP响应头https://docs.confluent.io/platform/current/release-notes/changelog.html https://github.com/confluentinc/rest-utils/blob/6.0.x/core/src/main/java/io/confluent/rest/RestConfig.java
-
问题内容: 我已经按照其官方文档在CentOS 7盒子上设置了Docker私有注册表(v2):https : //docs.docker.com/registry/deploying/ 我在Fedora 21机器上运行docker 1.6.0。 注册表在端口5000上运行,并使用由受信任的CA签名的SSL密钥。我将docker- registry.example.com的DNS记录设置为服务器的内
-
请注意, CompositeItemWriter是委托模式的一个示例, 这在Spring Batch中很常见的。 委托自身可以实现回调接口 StepListener。 如果实现了,那么他们就会被当作Job中Step的一部分与 Spring Batch Core 结合使用, 然后他们基本上必定需要手动注册到 Step 中。 一个 reader, writer, 或 processor,如果实现了 I
-
我现在一直在查看Spring Cloud模式注册表和汇合模式注册表。我可以看到一些区别,例如Spring Cloud模式注册表将模式保存在普通数据库中,默认情况下保存在h2中,而汇合模式注册表保存在kafka主题中。 spring云模式注册表的这种方法是否会对性能产生任何影响。据我所知,即使数据保留在主题上,以防汇合,查询它时仍然会有延迟。但会有重大影响吗? 我还可以看到,spring云模式注册表
-
我有密码 当我使用 curl http://localhost:8080/graph 当我向该URL发送一个POST请求时,我需要返回状态201,用于创建和方法POST。在这方面需要一些帮助。谢谢.
-
这就是我遇到麻烦的代码: 错误是: 当我执行脚本时,我没有任何chrome实例,当我使用它时没有选项,它工作正常。知道为什么会这样吗?请注意,我使用的是类似问题中提供的。 我用的是ChromeDriver 86.0.4240.22
-
主要内容:1 HTTP Request Header请求头,2 HTTP Response Header 响应头本文列出了日常开发中常见的请求头和响应头,以供大家参考。 1 HTTP Request Header请求头 Header 说明 示例 Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5 Accept-Encoding