问题标签 [strict-transport-security]

我想在 jboss 6.1.0 中为 x-frame 选项和 Strict-Transport-Security 设置 http 标头。

我一直在寻找合适的配置文件来添加这些头文件，我能够看到一些 jboss 6.4、jboss 7 的程序，但我没有得到 jboss 6.1 的任何东西

在 JBoss EAP 7 中配置 Http Headers

这是在 jboss 7 中，我需要对 jboss 6.1 做同样的事情

我已经尝试了很多方法来确定 jboss 6.1 中所需的正确配置更改，但我无能为力。

如果有人知道在 jboss 6.1 中这样做，请告诉我

提前致谢。

我编辑了 web.xml 以启用 HttpHeaderSecurityFilter，添加了一些参数并重新启动了 Tomcat。我没有在响应标头中看到 strict-transport-security。

我已经在 web.xml 中使用相同值的几个 Tomcat 9 安装上执行了相同的步骤，并且它按预期工作。

web.xml 中的相关条目（一些参数是默认的，我知道不需要，但我在尝试解决这个问题时添加了）：

服务器信息：

我有 2 个 Web 应用程序：MVC 和 Blazor webassembly。

在 MVC 项目中，我能够通过按照Microsoft 文档strict-transport-security中的说明在启动类中添加 HSTS 中间件来设置应用程序以强制执行。

问题是：如何配置 Blazor Web 程序集以在其响应标头中强制执行严格传输安全？

我通过将以下web.config文件添加到项目中进行了尝试：

但添加此配置文件后，我无法部署应用程序。

我的网络服务器使用 Nginx。我添加了这个指令add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload;" always;

它解决了我的非 www 的警告。域不使用 HSTS，这意味着该指令适用于http://example.com

但它没有解决www.example.com

我正在重定向 www。到非 www。

我删除了这块指令，只运行了 strict-transport-security，但这并没有解决我的问题。

我不确定为什么该指令没有为 www 解决这个问题。

使用 Tomcat v9.0.30，我能够使用内置的 Tomcat 过滤器HttpHeaderSecurityFilter https://tomcat.apache.org/tomcat-为基于 Spring 的应用程序成功配置所有响应的 HSTS 标头（当通过 HTTPS 提供时）9.0-doc/config/filter.html

但是，我注意到没有为具有 400 HttpStatus 的特定响应添加标头。下面是一些截图：

该问题似乎特定于 400 错误，尤其是在使用不符合 rfc 7230 和 rfc 3986 的字符时：“[”

我知道出于安全原因，Tomcat v9.xx 现在默认拒绝这些字符，并且可以使用RelaxPathChars和RelaxQueryChars属性允许它，但是 400 错误响应呢？

为什么在这种情况下不添加 HSTS 标头，是否有解决方法（为 400 响应添加标头）？如果应该将HttpHeaderSecurityFilter应用于所有响应，是否应该将其报告为 Tomcat 上的错误？