一尘不染

Tomcat的安全约束配置是强制性的吗?

tomcat

为了在Tomcat下进行SSL配置测试,这是否必须执行?

下面的这一行是从一个网站上获取的

为了进行此测试,请使用已在Tomcat中成功部署的任何应用程序,然后首先通过http和https访问它,以查看其是否正常运行。如果是,则打开该应用程序的web.xml并仅在web-
app结束之前添加此XML片段,即</web-app>

<security-constraint>
    <web-resource-collection>
        <web-resource-name>securedapp</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

是否必须在web.xml文件中执行此配置?


阅读 444

收藏
2020-06-16

共1个答案

一尘不染

不,这是没有必要的。这意味着您的Web应用程序 可通过HTTPS使用(而不能通过HTTP使用)。

如果您省略<transport-guarantee>CONFIDENTIAL</transport- guarantee>标记(或整个标记<security- constraint>),则您的应用程序将通过HTTP和HTTPS均可用。如果web.xml包含<transport- guarantee>CONFIDENTIAL</transport-guarantee>的Tomcat如果您尝试使用HTTP自动重定向请求到SSL端口。

请注意,默认的Tomcat配置未启用SSL连接器,您必须手动启用它。有关详细信息,请检查“
SSL配置指南 ”。

2020-06-16