Java 如何确保客户端在访问应用程序的某些页面时正在使用(或能够使用)TLS v1.2?
我正在基于Java的Web应用程序上开发一个信用卡支持模块,为了安全起见,我们希望用户在查看信用卡页面时使用TLSV1.2支持的浏览器 如何确保它们兼容?Java 如何确保客户端在访问应用程序的某些页面时正在使用(或能够使用)TLS v1.2?,java,ssl,httprequest,tls1.2,sslcontext,Java,Ssl,Httprequest,Tls1.2,Sslcontext,我正在基于Java的Web应用程序上开发一个信用卡支持模块,为了安全起见,我们希望用户在查看信用卡页面时使用TLSV1.2支持的浏览器 如何确保它们兼容? 注意:如果其他页面不兼容,我们不想将用户限制在其他页面。这是一个老问题。这里有一些信息 -优雅地反对TLS 1.0这是一个Spring应用程序吗?@Dan是的,这是基于Spring的。@Andreas:我已经更改了我的问题,这个问题不是重复的。另一个问题并不能解决我的问题。你可以编写一个过滤器,并以某种方式访问以编程方式验证页面和会话的T
注意:如果其他页面不兼容,我们不想将用户限制在其他页面。这是一个老问题。这里有一些信息
-优雅地反对TLS 1.0这是一个Spring应用程序吗?@Dan是的,这是基于Spring的。@Andreas:我已经更改了我的问题,这个问题不是重复的。另一个问题并不能解决我的问题。你可以编写一个过滤器,并以某种方式访问以编程方式验证页面和会话的TLS版本。不确定这是一个好主意吗?在到达安全区域之前,会话可能会在较低的加密级别被破坏。若攻击者可以提前泄露,则他们可以运行MITM,在服务器上建立TLS 1.2,并与受害者用户保持较低的泄露加密。不确定你的用例,所以不确定这是否适用,但在加密“聪明”的时候要小心,很多阿尔法书呆子在设计当前方案上投入了大量的工作,用它们“创造性”是危险的。谢谢,@John。我们有一个f5服务器,我们将添加一个头变量,以便在加载页面时检查相同的头变量。对于此页面的未来视图:以下代码:当HTTP_请求{HTTP::header insert X-SSL-Protocol[SSL::cipher version]HTTP::header insert X-SSL-cipher[SSL::cipher name]}