个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我们的团队从供应商处继承了一个 Web 应用程序。 Web 应用程序在 Tomcat 7.0.41(目前带有 OpenJDK 1.6)上运行。我查看了 Tomcat 服务器 xml,连接器配置如下。问题是为什么使用方案 https 和 secure=true 将 SSLEnabled 设置为 false。 TC 文档说 SSLEnabled 应该是“true”,通常带有 scheme 和 secure 是这样设置的。另外(重要的)TC 服务器位于负载平衡器后面。该应用程序似乎运行良好。我应该将 SSLEnabled 更改为 true 吗?有什么想法吗?
<Connector port="8443"
protocol="HTTP/1.1"
connectionTimeout="3000"
redirectPort="443"
SSLEnabled="false"
scheme="https"
secure="true"
useBodyEncodingForURI="true"
enableLookups="false"
maxThreads="400"
maxKeepAliveRequests="100"
acceptorThreadCount="4"
acceptCount="200"
proxyPort="443"
/>
最佳答案
如果 tomcat 位于提供明文 SSL 转换的负载均衡器之后,则配置正确。除非您需要安全直接连接(绕过负载均衡器)到 tomcat(例如管理),否则您不需要在 tomcat 上使用 SSLEnabled
在这种情况下,您需要 secure=true 和 scheme=https。如果您的 tomcat 服务器应用程序向客户端发送了一个重定向,而没有这样的方案:
response.sendRedirect(response.encodeRedirectURL(contextPath + "/rareurl") );
如果您不指定 scheme=https,tomcat 服务器将在前面加上 http。
将安全客户端重定向到不安全的 URL,通常会导致在没有客户端安全登录 session cookie 的情况下向 http 发出下一个客户端请求。在这种情况下,您最终可能会创建一个不必要的新 session ,并可能在您的客户下次请求时注销。
如果接收重定向的客户端不是真正的 http 客户端,它可能不会注意到从安全 https 到不安全 http 的切换。在这种情况下,他们可能会以明文形式广播他们的 session cookie,让坏人很容易获取登录 session 。
如果您没有 secure=true,那么 tomcat 添加到响应中的任何 cookie 都不会在 case 中“自动”添加 cookie "Secure" 属性开发人员不手动添加它的地方。
此外,如果服务器被编码为基于安全属性将 http 重定向到 https,那么当它查询请求以查看请求是否安全时,如果您没有 secure=true,它会认为它是不安全的。如果第三方 jar 查询连接(例如 Adobe Flash Gateway),它也可能导致问题
关于SSL 相关属性的 Tomcat 连接器元素组合,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35610779/
25
4
0
我有一个 mysql 表,其中包含一些随机数字组合。为简单起见,以下表为例: index|n1|n2|n3 1 1 2 3 2 4 10 32 3 3 10 4 4
我有以下代码: SELECT sdd.sd_doc_classification, sdd.sd_title, sdd.sd_desc, sdr.sd_upl
如果我有两个要合并的数据框 Date RollingSTD 01/06/2012 0.16 01/07/2012 0.18 01/08/2012 0.17 01/09/20
我知道可以使用 lein ring war 创建一个 war 文件,但它似乎仍然包含码头依赖项。当我构建 war (并在 tomcat 上部署)时,有没有办法排除码头依赖项? 如果我根本不能做这件事,
维基百科关于封装的文章指出: “封装还通过防止用户将组件的内部数据设置为无效或不一致的状态来保护组件的完整性” 我在一个论坛上开始讨论封装,在那里我问你是否应该始终在 setter 和/或 gette
对于我使用的组合框内的复选框: AOEDComboAssociationName = new Ext.form.ComboBox({ id: 'AOEDComboAssociationName',
这个问题在这里已经有了答案: 关闭 10 年前。 Possible Duplicate: How do I combine LINQ expressions into one? public boo
如何在 rust 中找到排列或组合的数量? 例如C(10,6) = 210 我在标准库中找不到这个函数,也找不到那里的阶乘运算符(这就足够了)。 最佳答案 以@vallentin 的回答为基础,可以进
我有一个复杂的泛型类型用例,已在下面进行了简化 trait A class AB extends A{ val v = 10 } trait X[T<:A]{ def request: T }
如何使用 Hibernate 限制来实现此目的? (((A='X') and (B in('X',Y))) or ((A='Y') and (B='Z'))) 最佳答案 思考有效 Criteria c
我一定会在我的一个项目中使用谷歌图表。我需要的是,显示一个条形图,并且在条形图中,与每个条形相交的线代表另一个值。如果您查看下面的 jsfiddle,您会发现折线图仅与中间的条形图相交,并继续向其他条
只是一个简单的问题,我也很想得到答案,因为我不能百分百理解 Javascript 示例:假设您提示用户输入名称。够简单吧?但是你有一个数组,上面写着一些名字(其中之一就是),基本上就是我到目前为止所说
我试图通过 Haskell 理解函数式编程,但在处理函数组合时遇到了很多麻烦。 其实我有这两个功能: add:: Integer -> Integer -> Integer add x y = x
我正在寻找一种在 Realm 查询中组合 AND 和 OR 的方法。 这是我的课: class Event extends RealmObject { String id; String
例如,我有一个包含 5 个元素的哈希: my_hash = {a: 'qwe', b: 'zcx', c: 'dss', d: 'ccc', e: 'www' } 我的目标是每次循环哈希时都返回,但没
我是Combine 的新手,我想得到一个看似简单的东西。假设我有一个整数集合,例如: let myCollection = [0, 1, 2, 3, 4, 5, 6, 7, 8, 9] 我想以例如 0
关于“优先组合而不是继承”的问题,我的老师是这样说的: 组合:现有类成为新类的组件 转发:新类中的每个实例方法,在现有类的包含实例上调用相应的方法并返回结果 包装器:新类封装了现有的 这三个概念我不是
我正在尝试将单个整数从 ASCII 值转换为 0 和 1。相关代码如下所示: int num1 = bin.charAt(0); int num2 = bin.charAt(1);
这个问题已经有答案了: What is a NullPointerException, and how do I fix it? (12 个回答) 已关闭 7 年前。 我经常看到“嵌套”类中的非静态变
我尝试合并两个数据集(DataFrame),如下所示: D1 = pd.DataFrame({'Village':['Ampil','Ampil','Ampil','Bachey','Bachey',
我是一名优秀的程序员,十分优秀!