如何在weblogic服务器中启用HSTS(HTTP严格传输安全性)
我想为我的网站将http请求转换为https。 我已经取得了SSL证书,但可能有绕过的机会如何在weblogic服务器中启用HSTS(HTTP严格传输安全性),weblogic,hsts,Weblogic,Hsts,我想为我的网站将http请求转换为https。 我已经取得了SSL证书,但可能有绕过的机会 我的应用程序启用了加密,并且在获得证书后,我的应用程序无法阻止通过不安全连接进行访问不幸的是,在weblogic中没有简单的方法来启用此功能(简单的复选框形式很简单) 您最好的选择可能是添加您自己的过滤器以添加HSTS标头。请看以下关于如何做到这一点的答案: 此处是相关答案文本,以便于参考(如果该答案被删除): 您可以使用过滤器添加它。将以下代码段添加到web.xml: 在web.config中使用此代
我的应用程序启用了加密,并且在获得证书后,我的应用程序无法阻止通过不安全连接进行访问不幸的是,在weblogic中没有简单的方法来启用此功能(简单的复选框形式很简单) 您最好的选择可能是添加您自己的过滤器以添加HSTS标头。请看以下关于如何做到这一点的答案: 此处是相关答案文本,以便于参考(如果该答案被删除): 您可以使用过滤器添加它。将以下代码段添加到web.xml:
在web.config中使用此代码
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Strict-Transport-Security" value="max-age=31536000"/>
</customHeaders>
</httpProtocol>
</system.webServer>
使用-Dweblogic.http.headers.enableHSTS=true
Oracle Weblogic Server 12.2.1.4或更高版本的JVM系统属性。使用2019年10月应用的补丁集更新的旧补丁集/版本也有此功能的后端口。对不起。是否真的需要将这些代码片段放到web.xml
上并创建过滤器类?我看到参考问题(问题部分)也在jsp上执行重定向。这是必须的吗?@杨真的就是这样。它还可以与jsf(不仅仅是jsp)等其他技术配合使用,只要请求通过servlet引擎即可。您可以在此处阅读更多信息:
package security;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;
public class HSTSFilter implements Filter {
public void doFilter(ServletRequest req, ServletResponse res,
FilterChain chain) throws IOException, ServletException {
HttpServletResponse resp = (HttpServletResponse) res;
if (req.isSecure())
resp.setHeader("Strict-Transport-Security", "max-age=31622400; includeSubDomains");
chain.doFilter(req, resp);
}
}
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Strict-Transport-Security" value="max-age=31536000"/>
</customHeaders>
</httpProtocol>
</system.webServer>