Hinzufügen HSTS-Funktion zu Tomcat

Vertrauen, das Sie alle gut.

Meine web-Anwendung auf tomcat ausführen 6.0.43 und nicht den apache oder nginx in der front.

Ich bin schon durchsetzen meinem web vom http-redirect auf die https-Verwendung:

URL Umleiten ../webapps/ROOT/index.jsp

<% response.sendRedirect("https://www.epi.com.my/portal/"); %>

../webapps/myapp/WEB-INF/web.xml

<security-constraint>
<web-resource-collection>
  <web-resource-name>Protected Context</web-resource-name>
     <url-pattern>/*</url-pattern>
 </web-resource-collection>
 <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint></security-constraint>

Wo fügen Sie diesen code unten

Header add Strict-Transport-Security "max-age=15768000"

BZW.
Ist tomcat nicht über diese Funktion?
Oder muss ich ändern in jeder meiner java-web-app-controller.

empfehlen ein upgrade tomcat für eine einfache Lösung. Bitte @mystygage Antwort für tomcat 7 und 8.

InformationsquelleAutor epiziv | 2014-12-18

Können Sie es hinzufügen, mit einem filter. Fügen Sie den folgenden Codeausschnitt an web.xml:

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>security.HSTSFilter</filter-class>
</filter>

Und dann einen filter erstellen, der in Ihre webapp:

package security;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

public class HSTSFilter implements Filter {

    public void doFilter(ServletRequest req, ServletResponse res,
        FilterChain chain) throws IOException, ServletException {
        HttpServletResponse resp = (HttpServletResponse) res;

        if (req.isSecure())
            resp.setHeader("Strict-Transport-Security", "max-age=31622400; includeSubDomains");

        chain.doFilter(req, resp);
    }
}

Ist es auch möglich, fügen Sie den filter mit Hilfe der globalen web.xml (conf/web.xml).

Ich habe gerade angefangen zu verstehen auf diese Weise. seine arbeiten auf tomcat 6.
Funktioniert die Aktivierung des neuen filters erfordert, um zu modifizieren auch die webapp ?
Ich glaube, dass Sie brauchen, um zu verwenden ! operator vor der if-Bedingung, wie pro Anforderung.

InformationsquelleAutor Severe

Wenn Sie sind in der Lage, Tomcat 7 oder 8, aktivieren Sie das gebaut in HSTS-filter. Kommentieren Sie httpHeaderSecurity filter-definition in tomcat/conf/web.xml

<filter>
    <filter-name>httpHeaderSecurity</filter-name>
    <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
    <async-supported>true</async-supported>
</filter>

und fügen Sie eine nützliche max Alter param:

<init-param>
    <param-name>hstsMaxAgeSeconds</param-name>
    <param-value>31536000</param-value>
</init-param>

Vergessen Sie nicht zu kommentieren filter-mapping:

<filter-mapping>
    <filter-name>httpHeaderSecurity</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
</filter-mapping>

Funktioniert die Aktivierung von HSTS, erfordern un Neustart des tomcat-service ?
Die HSTS-filter ist eingebaut in Start des Tomcat-version 7.0.63. Siehe die Antwort, um herauszufinden, Ihre Tomcat-version.

InformationsquelleAutor mystygage

2

Verwenden url-rewrite.
1. Erstellen Sie ein url-rewrite config-Datei und legen Sie Sie in Ihre web-Anwendung WEB-INF/classes Verzeichnis
2. Eine Regel hinzufügen, dass fügt hinzu, dass header, um alle Anfragen
Beachten Sie, dass dies nicht HSTS-spezifisch: Sie können alles tun Sie wollen mit url-rewrite.

InformationsquelleAutor Christopher Schultz
2
1. fügen Sie einfach diesen code in jsp unter jsp-scriptlet-tags
```
<%
    response.setHeader("Strict-Transport-Security" ,"max-age=7776000" );
%>
```
ODER
1. Kann auch hinzufügen, um server wenn Sie JBoss fügen Sie dann unter tags in web.xml der Anwendung
```
<system.webServer>
    <httpProtocol>
        <customHeaders>
            <add name="Strict-Transport-Security" value="max-age=31536000"/>
        </customHeaders>
    </httpProtocol>
</system.webServer>
```
  für <system.webServer> Sie xmlnsi andere Weise wird es werfen Analysieren Ausnahme
ODER
1. Können Sie nur eins tun: erstellen Sie einen filter in der Anwendung und konfigurieren, dass die Anwendung in web.xml
InformationsquelleAutor faizan9689

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.