Cabeçalho de transporte estrito HSTS

0

Eu preciso configurar o HSTS (HTTP Strict-Transport Header) no Linux. Eu adicionei o seguinte no arquivo Tomcat / Conf Web.xml:           httpHeaderSecurity         org.apache.catalina.filters.HttpHeaderSecurityFilter

    <init-param>
  <param-name>hstsEnabled</param-name>
  <param-value>true</param-value>
</init-param>
<init-param>
  <param-name>hstsMaxAgeSeconds</param-name>
  <param-value>31536000</param-value>
</init-param>
<init-param>
  <param-name>hstsIncludeSubDomains</param-name>
  <param-value>true</param-value>
</init-param>
 <async-supported>true</async-supported>

Também adicionei a porta 80 no arquivo server.xml e ainda não consigo o Cabeçalho de transporte estrito.

    
por ejames0512 14.09.2018 / 18:24

1 resposta

0

A HSTS é uma configuração de segurança para sites HTTPS e não deve ser configurada com HTTP simples, como você está fazendo.

Veja Mozilla - Strict-Transport-Security

The HTTP Strict-Transport-Security response header (often abbreviated as HSTS) lets a web site tell browsers that it should only be accessed using HTTPS, instead of using HTTP.

De acordo com os requisitos do link em seu comentário, para ter HSTS no Tomcat, você precisa ter um frontend de servidor da Web, no mesmo host.

In order to be accepted to the HSTS preload list through this form, your site must satisfy the following set of requirements:

  • Serve a valid certificate.

  • Redirect from HTTP to HTTPS on the same host, if you are listening on port 80.

  • Serve all subdomains over HTTPS.

De acordo com o nosso FAQ, está fora do tópico que o orienta sobre os passos específicos para o fazer.

Uma possível solução é configurar Apache + SSL + a X. 509 certificado como um front end para o seu site / Tomcat . Cuidado ao fazer isso, também há etapas específicas para o Tomcat . Veja também o guia oficial SSL do tomcat 9 .

    
por 14.09.2018 / 18:44

Tags