1. Dom
  2. Pytanie i odpowiedź
  3. Nagłówek "Strict-Transport-Security" dwukrotnie w odpowiedzi na aplikację Swisscom CloudFoundry

Nagłówek "Strict-Transport-Security" dwukrotnie w odpowiedzi na aplikację Swisscom CloudFoundry

2017-10-10 12 views
5

Podczas korzystania z rozwiązania Swisscom CloudFoundry z aplikacją Spring Boot, dwa nagłówki Strict-Transport-Security są dodawane do odpowiedzi HTTPS. Przyjrzałem się temu problemowi i odkryłem, że kilka rozwiązań nagłówkowych zostało dodanych przez rozwiązanie CloudFoundry. Spring Boot domyślnie dodaje już nagłówek Strict-Transport-Security (na bezpiecznych stronach), co prowadzi do dwóch różnych nagłówków HSTS.Nagłówek "Strict-Transport-Security" dwukrotnie w odpowiedzi na aplikację Swisscom CloudFoundry

Chciałbym skonfigurować nagłówki mojej aplikacji w mojej aplikacji. Czy istnieje sposób wyłączenia automatycznego dodawania nagłówka rozwiązania Swisscom CloudFoundry?

Jeśli nie, czy istnieje sposób, aby poinformować chmurę Swisscom o zastąpieniu istniejących nagłówków Strict-Transport-Security zamiast dołączania jej do listy nagłówków?

Odpowiedź HTTP z aplikacji Wiosna Boot, wdrożył Swisscom Chmura, następnie zawiera następujące dwa nagłówki:

Strict-Transport-Security:max-age=31536000 ; includeSubDomains 
Strict-Transport-Security:max-age=15768000; includeSubDomains

Źródło

2017-10-10 ssc-hrep3

Odpowiedz

4

Dziękujemy za zgłoszenie. Obecnie wstawiamy (nie zastępujemy) nagłówki HSTS, ponieważ nie byliśmy świadomi, że niektóre frameworki dodają je domyślnie. Rozważymy nadpisanie nagłówka zawsze, ponieważ zduplikowane nagłówki prawdopodobnie nie mają sensu, a ustawienie domyślne jest odpowiednie dla większości przypadków użycia.

Na razie: czy można wyłączyć ustawianie HSTS w Spring Boot? Według Spring boot docs, powinieneś być w stanie go wyłączyć z tego fragmentu:

@EnableWebSecurity 
public class WebSecurityConfig extends 
     WebSecurityConfigurerAdapter { 

    @Override 
    protected void configure(HttpSecurity http) throws Exception { 
     http 
      // ... 
      .headers() 
       .frameOptions().sameOrigin() 
       .httpStrictTransportSecurity().disable(); 
    } 
}

Aktualizacji: Będziemy zmienić to zachowanie wkrótce: The Appcloud ustawi tylko nagłówek, jeśli aplikacja nie określa go już . Dlatego pozostawiamy wybór programistom, jeśli i jak chce on wdrożyć HSTS, ale zapewni to ustawienie domyślne.

Aktualizacja 2: Nowe zachowanie zostało wprowadzone.

Źródło

2017-10-10 20:57:19

+0

Dzięki za odpowiedź. To działa, ale chciałbym zarządzać moją konfiguracją zabezpieczeń w mojej aplikacji. Podzielona konfiguracja zabezpieczeń (np. Aktywnie wyłączająca nagłówek HSTS w mojej aplikacji) zwiększa prawdopodobieństwo, że o tym zapomni. Dzięki za twoją pracę! –

Powiązane problemy

 Powiązane problemy