如何在Response Header中设置Strict-Transport-Security属性,现在分享三种方式。
方式1
通过在tomcat(This is supported for Tomcat 8 (8.0.23 and later).)中设置。
在tomcat的/conf/web.xml文件中,追加下面的内容:
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<init-param>
<param-name>hstsMaxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<async-supported>true</async-supported>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
结果:
Strict-Transport-Security: max-age=31536000
方式2
在工程的spring security的配置文件中追加下面的内容(applicationContext.xml)
<security:headers>
<security:hsts max-age-seconds="31536000" include-subdomains="false"/>
</security:headers>方式3
在akamai中设置:
Access Control -> Redirect to HTTPS -> Enable:On
注意:如果web工程使用了akamai,必须使用方式3的设置才能生效。