那些遇到过的问题

在 Wildfly 10 中配置 HTTP 标头

Pri*_*aha 2 security http-headers servlet-filters undertow wildfly-10

有没有办法配置 Wildfly(10 个或更多)发送到客户端的 Http 标头仅配置以下内容:

HTTPS 严格传输安全 (HSTS) X-XSS-Protection X-Frame-Options Strict-Transport-Security Content-Security-Policy X-Content-Type-Options

我有一个配置文件(standalone.xml),其中包含所有配置。我需要在这里添加标题的配置。

小智 6 

    <subsystem xmlns="urn:jboss:domain:undertow:6.0" default-server="default-server" default-virtual-host="default-host" default-servlet-container="default" default-security-domain="other">
        <buffer-cache name="default"/>
        <server name="default-server">
            <http-listener name="default" socket-binding="http" max-parameters="10000" redirect-socket="https" enable-http2="true"/>
            <https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true"/>
            <host name="default-host" alias="localhost">
                <location name="/" handler="welcome-content" predicate="not exists[%{o,Content-Security-Policy}]"/>
                <http-invoker security-realm="ApplicationRealm"/>
                <filter-ref name="Content-Security-Policy"/>                
                <filter-ref name="x-frame-options"/>
                <filter-ref name="x-xss-protection"/>
                <filter-ref name="x-content-type-options"/>
                <!--filter-ref name="content-security-policy"/-->
                <filter-ref name="strict-transport-security"/>
                <filter-ref name="my-custom-header"/>
            </host>
        </server>
        <servlet-container name="default">
            <jsp-config/>
            <websockets/>
        </servlet-container>
        <handlers>
            <file name="welcome-content" path="${jboss.home.dir}/welcome-content"/>
        </handlers>
        <filters>
            <response-header name="server-header" header-name="Server" header-value="JBoss-EAP/7"/>
            <response-header name="x-powered-by-header" header-name="X-Powered-By" header-value="Undertow/1"/>
            <response-header name="Content-Security-Policy" header-name="Content-Security-Policy" header-value="default-src 'self'"/>   
            <response-header name="x-frame-options" header-name="X-Frame-Options" header-value="SAMEORIGIN"/>
            <response-header name="x-xss-protection" header-name="X-XSS-Protection" header-value="1; mode=block"/>
            <response-header name="x-content-type-options" header-name="X-Content-Type-Options" header-value="nosniff"/>
            <!--response-header name="content-security-policy" header-name="Content-Security-Policy" header-value="default-src https:"/-->
            <response-header name="strict-transport-security" header-name="Strict-Transport-Security" header-value="max-age=31536000; includeSubDomains;"/>             
            <!-- Add line below -->
            <response-header name="my-custom-header" header-name="my-custom-header" header-value="my-custom-value"/>
        </filters> 
    </subsystem>
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

7499 次

最近记录:

6 年,3 月 前
相关归档
为什么通过默默无闻的安全是一个坏主意? 68
ClientMessageInspector添加BinarySecurityToken和Signature 12
在无人参与的bash脚本中使用Mysql时保护密码 6
Spring安全性 - 在taglib和jsp中的SecurityContext.authentication null但在控制器中是ok 5
检查用户是否已登录 5
如何使java.io.BufferedOutputStream为敏感卡数据的内存刮刀安全? 5
可以公开来自 `IdentityError` 类的消息吗? 5
哪些 Accept-CH 值相当于用于识别浏览器的 User-Agent? 4
"隐藏"密码,初始向量等的最佳方法,用于在类库中进行加密 2
加密是好还是坏? 2
难疑归档
使用"let"和"var"在JavaScript中声明变量有什么区别? 4199
如何将package.json中的每个依赖项更新为最新版本? 1871
如何用Vim中的换行符替换字符? 1870
为什么模板只能在头文件中实现? 1660
makefile中.PHONY的目的是什么? 1535
JavaScript是一种传递引用还是按值传递的语言? 1311
如何在回调中访问正确的`this`? 1309
我是否提交了由npm 5创建的package-lock.json文件? 1164
创建一个带参数的Bash别名? 1164
如何在Ruby on Rails中获取当前的绝对URL? 1030