Security Tomcat中协议和端口的不正确组合是安全问题吗？_Security_Tomcat_Ssl_Https_Port

Security Tomcat中协议和端口的不正确组合是安全问题吗？

security tomcat ssl https

Security Tomcat中协议和端口的不正确组合是安全问题吗？,security,tomcat,ssl,https,port,Security,Tomcat,Ssl,Https,Port,我已经在Windows环境中为Tomcat 6.0.18启用了自签名证书。在Tomcat的conf文件夹中的server.xml中，HTTP端口配置为8080，HTTPS端口配置为8443。一切正常。也就是说，所有HTTP请求都被重定向到HTTPS 以下是端口8080的连接器设置 <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" enableLookups="false"

我已经在Windows环境中为Tomcat 6.0.18启用了自签名证书。在Tomcat的conf文件夹中的server.xml中，HTTP端口配置为8080，HTTPS端口配置为8443。一切正常。也就是说，所有HTTP请求都被重定向到HTTPS

以下是端口8080的连接器设置

<Connector port="8080" protocol="HTTP/1.1" 
       connectionTimeout="20000" enableLookups="false" 
       redirectPort="8443" />

以下是端口8443的连接器设置

<Connector port="8443" 
protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"               
maxThreads="150" scheme="https" secure="true" 
keystoreFile="c:\ssl\keystore"
keystorePass="<password>"
clientAuth="false" 
sslProtocol="TLS" />

但是，当协议和端口的组合不正确时（

http://localhost:8443

）在Internet Explorer中输入，它显示5个矩形

在Firefox中，它会显示一个问号字符，如下所示

在安全审计中，这对我来说是一个安全问题。这是安全问题吗？有没有人遇到过这样的问题？这是一个安全漏洞吗？有什么补救办法？在这方面的任何帮助都是非常感谢的

谢谢

Wap Rau您的服务器中有

SSLEnabled=“true”

、

scheme=“https”

和

secure=“true”

吗。xml的SSL

？令人惊讶的是，Tomcat6允许在您定义的安全连接器上进行不安全的连接。（根据文档，

scheme

和

secure

仅通知从Servlet中返回的

isSecure（）

和

getScheme（）

信息，但可能没有设置这些信息也会导致您看到的问题。）

假设您已正确设置了上述内容，我建议您编写一段代码，让INTERCEPTS接收请求并检查协议和端口，并在必要时向正确的协议/端口发送302重定向（因为您使用的是Tomcat，这将是一个

响应。sendRedirect（）

）

在本例中，JavaScript重定向（

location.replace（）

）可能很吸引人，但请记住，您的响应正在被破坏，因此这里不允许这样做。（我之所以提到这一点，是因为在我意识到这一点之前，我几乎把它作为一种替代解决方案提出了！）

如果这是一个安全问题，你就无能为力了。你不能改变IE和Firefox的行为。询问审稿人什么样的安全被破坏了。谢谢你的回复，史蒂夫。我已经用端口8443和8080的设置更新了我的问题，这些设置与您提到的相同。