2

spring security (4.0.1.Release) 默认为 https 协议设置 HSTS 主机,您可以Strict-Transport-Security: max-age=31536000 ;在响应标头中看到(我使用 Firefox>Web Development>Network )。

但是当我查看 firefox 控制台时,我看到一个错误,上面写着:The site specified an invalid Strict-Transport-Security header. 我还在 spring config 中手动将 hsts 标头设置为:

    <headers>
        <hsts />
    </headers>

生成相同的响应标头,FireFox 再次显示错误。

根据https://developer.mozilla.org/docs/Security/HTTP_Strict_Transport_Security标头必须正确!

任何意见 ?!

在此处输入图像描述

4

2 回答 2

1

我发现这是 Firefox 中的一个错误,如The site specified an invalid Strict-Transport-Security header - firebug中所述。

自签名证书似乎会产生此问题。

另请参阅:https ://jira.spring.io/browse/SEC-3021

于 2015-07-01T14:24:19.257 回答
0

试试这个,所以我解决了一个类似的问题:

您可以在 firefox 地址栏中输入about:config(确认信息消息以防出现)并搜索名为security.enterprise_roots.enabled的首选项,双击它并将其值更改为true并重新启动 firefox。

配置火狐

于 2020-02-24T14:06:17.253 回答