#security #tomcat #tomcat9 #hsts
Вопрос:
Изменили TOMCAT/conf/web.xml файл для настройки HSTS на сервере приложений tomcat.
<!-- Enable HSTS -->
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<init-param>
<param-name>hstsEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>hstsMaxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>hstsIncludeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>hstsPreload</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>ALLOW-FROM</param-value>
</init-param>
<init-param>
<param-name>antiClickJackingUri</param-name>
<param-value>https://OUR_PRIMARY_DOMAIN.HERE</param-value>
</init-param>
<async-supported>true</async-supported>
</filter>
<!-- Enable HSTS Filter -->
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
Это прекрасно работает на одном сервере. Но на другом сервере я не мог видеть информацию о строгом заголовке. Даже в веб-браузере я не мог видеть Строгий заголовок. В рабочей настройке используется самозаверяющий сертификат. В производстве используется сертификат третьей стороны. Будут ли сторонние сертификаты вызывать какие-либо проблемы с HSTS?
Как мне отладить эту проблему дальше?
Заранее спасибо.
Комментарии:
1. Можете ли вы подробнее рассказать о том, как вы проверяете, присутствует ли заголовок HSTS?
2. Спасибо. В веб-браузере откройте инструменты разработчика, вкладку сеть, проверьте информацию о заголовках. Для рабочего сервера присутствовала строгая информация заголовка. Но неработающий сервер, я не вижу строгой информации в заголовке.