Strict-Transport-Security的对应方式

如何在Response Header中设置Strict-Transport-Security属性,现在分享三种方式。

方式1

通过在tomcat(This is supported for Tomcat 8 (8.0.23 and later).)中设置。

在tomcat的/conf/web.xml文件中,追加下面的内容:

<filter>
    <filter-name>httpHeaderSecurity</filter-name>
  <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
    <init-param>
      <param-name>hstsMaxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <async-supported>true</async-supported>
</filter>
<filter-mapping>
    <filter-name>httpHeaderSecurity</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
</filter-mapping>

结果:

Strict-Transport-Security: max-age=31536000

方式2

在工程的spring security的配置文件中追加下面的内容(applicationContext.xml)

<security:headers>
    <security:hsts max-age-seconds="31536000" include-subdomains="false"/>
</security:headers>

方式3

在akamai中设置:

Access Control -> Redirect to HTTPS -> Enable:On

注意:如果web工程使用了akamai,必须使用方式3的设置才能生效。

发表评论

电子邮件地址不会被公开。 必填项已用*标注