一尘不染

将HSTS功能添加到Tomcat

tomcat

相信大家

我的Web应用程序在tomcat 6.0.43上运行,并且前面不使用apache或nginx。

我已经使用以下命令将我的网站从http重定向到https:

  1. URL重定向位于../webapps/ROOT/index.jsp

<% response.sendRedirect("https://www.epi.com.my/portal/"); %>

  1. ../webapps/myapp/WEB-INF/web.xml
<security-constraint>
<web-resource-collection>
  <web-resource-name>Protected Context</web-resource-name>
     <url-pattern>/*</url-pattern>
 </web-resource-collection>
 <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint></security-constraint>

在何处添加以下代码

标头添加严格运输安全性“ max-age = 15768000”

或tomcat没有此功能吗?或者我需要在每个Java Web应用程序控制器中进行修改。


阅读 1701

收藏
2020-06-16

共1个答案

一尘不染

您可以使用过滤器添加它。将以下代码段添加到web.xml:

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>security.HSTSFilter</filter-class>
</filter>

然后在您的Web应用程序中创建一个过滤器:

package security;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

public class HSTSFilter implements Filter {

    public void doFilter(ServletRequest req, ServletResponse res,
        FilterChain chain) throws IOException, ServletException {
        HttpServletResponse resp = (HttpServletResponse) res;

        if (req.isSecure())
            resp.setHeader("Strict-Transport-Security", "max-age=31622400; includeSubDomains");

        chain.doFilter(req, resp);
    }
}

也可以使用全局web.xml(conf / web.xml)添加过滤器。

2020-06-16