我现在在一个谷歌应用引擎项目中。在我的应用程序中,我必须只允许 https 协议。而且我必须限制其他协议。它应该只允许 https。我在 web.xml 中添加了以下代码。
<security-constraint>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
但在部署后,它适用于两种协议(http 和 https)。如何限制http?
可以将各个处理程序配置为在 WEB-INF 文件夹中的 app.yaml 文件中需要 HTTPS,如下所述:Java 应用程序配置使用 app.yaml - Google App Engine。
您只需将这两个词添加到app.yaml文件中的相应url条目下:
secure: always
例如:
- url: .*
script: main.app
secure: always
然后,如果用户尝试使用 HTTP 访问 URL,她将被自动重定向到 HTTPS。很酷。
如果您想坚持使用“web.xml”而不是使用“app.yaml”选项(这将在部署时覆盖您的 web.xml 和 appengine-web.xml 文件),您可以添加:
<security-constraint>
<web-resource-collection>
<web-resource-name>everything</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
参考: https ://cloud.google.com/appengine/docs/java/config/webxml#Security_and_Authentication
这是给未来的人的!!!
在javaweb.xml中,在我的文件中添加下面的代码对我有用
<security-constraint>
<web-resource-collection>
<web-resource-name>HTTPS redirect</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
对于其他项目,在文件secure: always中的所有 url 下添加app.yaml
将此添加到您的 web.xml 文件中
<security-constraint>
<web-resource-collection>
<web-resource-name>all</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>