如何在Response Header中设置Strict-Transport-Security属性,现在分享三种方式。
方式1
通过在tomcat(This is supported for Tomcat 8 (8.0.23 and later).)中设置。
在tomcat的/conf/web.xml文件中,追加下面的内容:
<filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <init-param> <param-name>hstsMaxAgeSeconds</param-name> <param-value>31536000</param-value> </init-param> <async-supported>true</async-supported> </filter> <filter-mapping> <filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping>
结果:
Strict-Transport-Security: max-age=31536000
方式2
在工程的spring security的配置文件中追加下面的内容(applicationContext.xml)
<security:headers>
<security:hsts max-age-seconds="31536000" include-subdomains="false"/>
</security:headers>
方式3
在akamai中设置:
Access Control -> Redirect to HTTPS -> Enable:On
注意:如果web工程使用了akamai,必须使用方式3的设置才能生效。