在Heroku上使用嵌入式Jetty强制执行HTTPS
我们有一个运行嵌入式Jetty的Javaservlet,它使用“SSL端点”插件部署到Heroku。我要求应用程序中的所有页面都通过HTTPS提供服务,无论用户是使用http还是HTTPS导航到我们的应用程序 应用程序识别通过https发出的请求,但也接受http请求而不重定向(不应该这样做)。此外,如果用户从https连接开始,那么每当发布表单并将其重定向到“GET”请求时,所有https连接都会恢复为http 我尝试添加一个URL筛选器,该筛选器将“http://”更改为“https://”,并使用以下代码执行重定向(为了简洁起见,已删除导入): 然后,我将其添加到我的web.xml文件中:在Heroku上使用嵌入式Jetty强制执行HTTPS,heroku,https,jetty,Heroku,Https,Jetty,我们有一个运行嵌入式Jetty的Javaservlet,它使用“SSL端点”插件部署到Heroku。我要求应用程序中的所有页面都通过HTTPS提供服务,无论用户是使用http还是HTTPS导航到我们的应用程序 应用程序识别通过https发出的请求,但也接受http请求而不重定向(不应该这样做)。此外,如果用户从https连接开始,那么每当发布表单并将其重定向到“GET”请求时,所有https连接都会恢复为http 我尝试添加一个URL筛选器,该筛选器将“http://”更改为“https://”
<filter>
<filter-name>urlFilter</filter-name>
<filter-class>org.stjude.radio.ui.filters.UrlFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>urlFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
urlFilter
org.stjude.radio.ui.filters.urlpilter
urlFilter
/*
<security-constraint>
<web-resource-collection>
<web-resource-name>SSL Pages</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>GET</http-method>
<http-method>PUT</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
SSL页面
/*
得到
放
邮递
保密的
非常感谢您的帮助。您需要检查
x-forwarded-protoBoolean secure = false;
if (request.headers.get("x-forwarded-proto") != null) {
secure = request.headers.get("x-forwarded-proto").values.contains("https");
}
System.out.println("secure = " + secure);
我已经与Heroku进行了核对(可能我在这里错过了一个版本,以及buildpack,等等),但您肯定没有得到这些信息:
- 指向http的X-Forwarded-Proto点
- HttpServletRequest#方案返回http
- HttpServletRequest#安全返回false
x-forwarded-protox-forwardedForwardedRequestCustomizerx-forwardedgetRequestURL()getQueryString()Boolean secure = false;
if (request.headers.get("x-forwarded-proto") != null) {
secure = request.headers.get("x-forwarded-proto").values.contains("https");
}
System.out.println("secure = " + secure);