|
|
相关文章推荐
|
面冷心慈的马克杯 · javascript刷新父页面的各种方法汇总 ...· 1 月前 · |
|
|
内向的馒头 · POI导出excel执行公式 ...· 1 月前 · |
|
|
气宇轩昂的啄木鸟 · 《怒斩狂飙(二凤前传)》高清下载-电影-夕阳小站· 1 年前 · |
|
|
正直的凉茶 · 《不二兄弟》发布主题曲mv《你是我的歌》一声 ...· 1 年前 · |
|
|
含蓄的木耳 · 奇瑞新能源推出模块化平台@LIFE,首款新车 ...· 1 年前 · |
|
|
彷徨的豌豆 · 最高上涨7,000元 吉利几何A ...· 1 年前 · |
|
|
健壮的茶壶 · Unity - 2D物理关节 - ...· 1 年前 · |
带有Tomcat 9的HSTS报头有400个错误
问
带有Tomcat 9的HSTS报头有400个错误
EN
EN
Stack Overflow用户
提问于
2022-01-26 14:47:39
回答 1
查看 257
关注 0
票数 1
使用Tomcat v9.0.30,我能够使用内置Tomcat过滤器HttpHeaderSecurityFilter https://tomcat.apache.org/tomcat-9.0-doc/config/filter.html 成功地为基于Spring的应用程序配置所有响应的HSTS报头(当通过HTTPS服务时)。
但是,我注意到头不是为400 HttpStatus的特定响应添加的。下面是一些截图:
这个问题似乎是针对400个错误,特别是当使用rfc 7230和rfc 3986的不符合规定的字符时:“[
我知道Tomcatv9.x.x出于安全原因默认拒绝这些字符,并且可以使用relaxedPathChars和relaxedQueryChars属性,但是400个错误响应呢?
为什么在这种情况下没有添加HSTS报头,是否有解决办法(为400响应添加报头)?如果应该将HttpHeaderSecurityFilter应用于所有响应,是否应该将其报告为Tomcat上的一个bug?
EN
回答 1
Stack Overflow用户
发布于 2022-10-26 16:07:52
将
relaxedPathChars='[]'
添加到
server.xml
中的
Connector
元素中,在Tomcat 9.0.65上为我修正了这个问题。
最后,我使用了以下配置来允许更多字符(以满足安全扫描):
server.xml
->
Connector
->
relaxedPathChars='[]|' relaxedQueryChars='[]|{}^\`"<>'
并设置以下开始选项(允许
[encoded]
反斜杠而不中断HSTS标头):
-Dorg.apache.catalina.connector.CoyoteAdapter.ALLOW_BACKSLASH=true
票数 0
EN
页面原文内容由
Stack Overflow
提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/70865338
复制
相关文章
相似问题
领券
腾讯云开发者
扫码关注腾讯云开发者
领取腾讯云代金券
Copyright © 2013 - 2023 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号: 粤B2-20090059 深公网安备号 44030502008569
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287
推荐文章
|
|
气宇轩昂的啄木鸟 · 《怒斩狂飙(二凤前传)》高清下载-电影-夕阳小站 1 年前 |