当前位置: 首页 > 知识库问答 >
问题:

我们如何在weblogic server中启用HSTS(HTTP严格传输安全)

须曜文
2023-03-14

我想为我的网站将超文本传输协议请求转换为https。我已经获得了SSL证书,但可能有机会绕过我的应用程序启用的加密,并且在获得证书后,我的应用程序无法阻止通过不安全的连接访问

共有3个答案

蒋硕
2023-03-14

使用 -Dweblogic.http.headers.enableHSTS=true JVM system 属性进行 Oracle Weblogic Server 12.2.1.4 或更高版本。应用了 2019 年 10 月修补程序集更新的较旧修补程序集/版本也具有此功能向后移植。

隗俊誉
2023-03-14

在web.config中使用此代码

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <add name="Strict-Transport-Security" value="max-age=31536000"/>
        </customHeaders>
    </httpProtocol>
</system.webServer>
端木权
2023-03-14

不幸的是,在weblogic中没有简单的方法来实现这一点(简单的复选框形式)。

最好的选择可能是添加自己的过滤器来添加HSTS标头。看看这个答案如何做到这一点:https://stackoverflow.com/a/30455120/1391209

以下是相关的答案文本,以便于参考(如果答案被删除):

您可以使用过滤器添加它。将以下片段添加到web.xml:

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>security.HSTSFilter</filter-class>
</filter>

然后在您的webapp中创建一个过滤器:

package security;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

public class HSTSFilter implements Filter {

    public void doFilter(ServletRequest req, ServletResponse res,
        FilterChain chain) throws IOException, ServletException {
        HttpServletResponse resp = (HttpServletResponse) res;

        if (req.isSecure())
            resp.setHeader("Strict-Transport-Security", "max-age=31622400; includeSubDomains");

        chain.doFilter(req, resp);
    }
}
 类似资料:
  • 我在API项目中使用Spring Security和Spring Oauth2和JWT,为了登录Spring Oauth2提供的默认API是/oauth/token 此API总是在响应中添加“Strict-Transport-Security: max-age=31536000;包含子域”标头。但我不希望在我的情况下这样。并且我已经使用以下源代码删除了HSTS。 在上面的代码中,我定义的API在头

  • 综述 HTTP严格传输安全(HTTP Strict Transport Security, HSTS)头是一项机制:在特定域名下,网站和浏览器之间通信必须都通过https传输。这有助于保护信息从非加密请求中泄露。 考虑这个安全措施的重要意义,测试的关键在于验证网站是否使用这个HTTP头,来确保所有数据都是从浏览器加密传输到服务器端的。 HTTP严格传输安全特征使得web应用能够通过使用特别的响应头

  • 从今天上午的一个小游戏中可以看出,URL加载系统将决定使用https,即使您给它一个http URL,它也将决定使用https。有没有人知道如何禁用这种行为--即使只是针对特定的URL?

  • 现在JSCS项目与ESLint合并,JSCS linter被弃用,我仍然很难找到替换某些规则的方法。具体来说,JSCS有一条规则,它的作用是:要求您在之后添加新行。我搜索了ESLint规则,但找不到等效规则。是否有一个插件可以为ESLint添加类似的规则?

  • 问题内容: 我已经开始探索Node.js,并编写了许多演示Web应用程序,以了解Node.js,Express.js,jade等的流程。 但是我最近遇到的一件事是,该语句作为每个函数和每个文件中的第一行。 Node.js对它的解释如何? 问题答案: 基本上,它启用严格模式。 严格模式是一项功能,使您可以在“严格”的操作环境中放置程序或功能。在严格的操作上下文中,方法窗体像以前一样将此绑定到对象。函

  • 我是Android新手,我正在尝试使用UI线程,所以我写了一个简单的测试活动。但我想我误解了什么,因为点击按钮,应用程序不再响应