当选中securityheaders.com上的URL“https://. com”时,我必须将所有这些标头(下面提到)设为绿色。标头:“Strict-Transport-Security”“Content-Security-Policy”“X-Frame-Options”“X-Content-Type-Options”这里运行的Web服务器IBMWebSphere9.0.5.13这里。
我知道它需要添加在一些带有上下文参数的Web. xml文件中,但是有很多web.xml文件不确定是哪一个,或者我们也尝试从服务器Web容器设置中添加这个不起作用:com.ibm.ws.web容器。ADD_STS_HEADER_WEBAPP……value=max-age=31536000;包括子域;预加载com.ibm.ws.web容器.addStrictTransportSecurityHeader……value=max-age=31536000;包括子域;预加载但都不起作用。我需要为上面提到的所有标头做这件事。
我们知道如何为Tomcat做到这一点,但是在使用WebSphere的人时遇到了困难。如果有人知道如何做到这一点,请帮助我。提前感谢你们
你好,美娜克
您需要使用ServletAPI在应用程序或过滤器中设置自定义响应标头。如果无法做到这一点,如果您的应用程序前面有代理服务器,您通常可以这样做。
WebSphere Liberty对通过server. xml添加自定义响应标头具有基本支持,但在传统的webphere应用程序服务器中不可用。
HSTS是独一无二的,因为它在不同级别的配置中都有支持。
您可以按照前面的注释添加Servlet过滤器API,并将doFilter方法中的以下配置添加到响应HTTP标头中
HttpServletResponse servletResponse=(HttpServletResponse)响应;servletResponse. setHeader("Content-Security-Policy","default-src'self'blob:https:;font-src'self'data:blob:https:;img-src'self'data:blob:https:;script-src'self''unsafe-inline'unsafe-val'https:;worker-src'self'blob:https:;style-src'self'unsafe-inline'https:;frame-祖先'self';frame-src");
参考:https://www.ibm.com/support/pages/how-configure-content-security-policy-header-ibm-content-navigator
