Spring 安全HTTP响应头_Spring_Spring Security

Spring 安全HTTP响应头

spring spring-security

Spring 安全HTTP响应头,spring,spring-security,Spring,Spring Security,我需要保护我的http响应头根据我之前在nodejs中所做的，我将使用头盔和一些手动配置来完成这项工作我也研究了弹簧，我拿出了这张桌子所以我的主要问题是：我有必要在春天处理像X-Powered-By-Header这样的东西吗？对我来说，在春天阻止X-Powered-By-Header，ieNoOpen是什么意思 X-Powered-By是应用服务器提供的非标准HTTP标头。通常，您将使用此配置禁用默认HTTP头 @Override protected void configure(H

我需要保护我的http响应头

根据我之前在nodejs中所做的，我将使用头盔和一些手动配置来完成这项工作

我也研究了弹簧，我拿出了这张桌子

所以我的主要问题是：

我有必要在春天处理像X-Powered-By-Header这样的东西吗？对我来说，在春天阻止

X-Powered-By-Header

，

ieNoOpen

是什么意思

X-Powered-By

是应用服务器提供的非标准HTTP标头。通常，您将使用此配置禁用默认HTTP头

@Override
protected void configure(HttpSecurity http) throws Exception {
   http
      // ...
     .headers().disable();
}

但是由于

X-Powered-By

是一种非标准API，因此此代码不会从应用服务器禁用此标头。不过，您可以将应用服务器配置为禁用此标头

有必要在春天处理像X-Powered-By-Header这样的东西吗

如果你想的话，你可以像这样覆盖标题

protected void configure(HttpSecurity http) throws Exception {
    http
      .headers()
        .addHeaderWriter(new StaticHeadersWriter("X-Powered-By-Header","Express"))
     ....
}

Spring Boot无法删除由应用程序服务器写入的

X-Powered-By

。不过，大多数应用服务器都有一个属性来禁用此功能（使用嵌入式服务器，设置起来相当容易，尽管我相信Tomcat已经默认禁用了此功能）。我在问我是否需要做更多的工作来配置spring security以阻止

X-Powered-By-Header

，例如。是的。如果您想将spring security配置为阻止或更改

X-Powered-By-Header

，则需要执行一些手动配置，只需在头盔中执行即可。您必须执行的配置已添加到代码中。我正在搜索spring文档，但没有看到任何关于阻止

X-Powered-By-Header

。是的，因为它是非标准头。但您可以创建自定义头，这反过来实际上会覆盖来自服务器的x-powered-by头。自定义头可以像Umm no一样创建。您的spring应用程序没有发送头，您的应用程序所在的服务器是。因此，不，spring安全性不会停止服务器发送头。您需要从spring应用程序发送自定义头，该头将覆盖应用程序服务器头。