Spring 安全HTTP响应头
我需要保护我的http响应头 根据我之前在nodejs中所做的,我将使用头盔和一些手动配置来完成这项工作 我也研究了弹簧,我拿出了这张桌子 所以我的主要问题是: 我有必要在春天处理像X-Powered-By-Header这样的东西吗? 对我来说,在春天阻止Spring 安全HTTP响应头,spring,spring-security,Spring,Spring Security,我需要保护我的http响应头 根据我之前在nodejs中所做的,我将使用头盔和一些手动配置来完成这项工作 我也研究了弹簧,我拿出了这张桌子 所以我的主要问题是: 我有必要在春天处理像X-Powered-By-Header这样的东西吗? 对我来说,在春天阻止X-Powered-By-Header,ieNoOpen是什么意思 X-Powered-By是应用服务器提供的非标准HTTP标头。通常,您将使用此配置禁用默认HTTP头 @Override protected void configure(H
X-Powered-By-Header
,ieNoOpen
是什么意思
X-Powered-By
是应用服务器提供的非标准HTTP标头。通常,您将使用此配置禁用默认HTTP头
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// ...
.headers().disable();
}
但是由于X-Powered-By
是一种非标准API,因此此代码不会从应用服务器禁用此标头。不过,您可以将应用服务器配置为禁用此标头
有必要在春天处理像X-Powered-By-Header这样的东西吗
如果你想的话,你可以像这样覆盖标题
protected void configure(HttpSecurity http) throws Exception {
http
.headers()
.addHeaderWriter(new StaticHeadersWriter("X-Powered-By-Header","Express"))
....
}
Spring Boot无法删除由应用程序服务器写入的
X-Powered-By
。不过,大多数应用服务器都有一个属性来禁用此功能(使用嵌入式服务器,设置起来相当容易,尽管我相信Tomcat已经默认禁用了此功能)。我在问我是否需要做更多的工作来配置spring security以阻止X-Powered-By-Header
,例如。是的。如果您想将spring security配置为阻止或更改X-Powered-By-Header
,则需要执行一些手动配置,只需在头盔中执行即可。您必须执行的配置已添加到代码中。我正在搜索spring文档,但没有看到任何关于阻止X-Powered-By-Header
。是的,因为它是非标准头。但您可以创建自定义头,这反过来实际上会覆盖来自服务器的x-powered-by头。自定义头可以像Umm no一样创建。您的spring应用程序没有发送头,您的应用程序所在的服务器是。因此,不,spring安全性不会停止服务器发送头。您需要从spring应用程序发送自定义头,该头将覆盖应用程序服务器头。