http-headers - 标题 "Strict-Transport-Security"两次响应 Swisscom CloudFoundry 应用程序

Question

将 Swisscom CloudFoundry 解决方案与 Spring Boot 应用程序一起使用时，两个 Strict-Transport-Security header 被添加到 HTTPS 响应中。我研究了这个问题，发现 CloudFoundry 解决方案添加了几个 header 。默认情况下，Spring Boot 已经添加了 Strict-Transport-Security header 也是(在安全站点上)，这会导致两个不同的 HSTS header 。

我想在我的应用程序中配置我的应用程序的 header 。有没有办法禁用 Swisscom CloudFoundry 解决方案的这种自动标题添加？

如果没有，是否有办法告诉 Swisscom Cloud 覆盖现有 Strict-Transport-Security header 而不是将其附加到 header 列表中？

来自部署 Swisscom Cloud 的 Spring Boot 应用程序的 HTTP 响应包含以下两个 header :

Strict-Transport-Security:max-age=31536000 ; includeSubDomains
Strict-Transport-Security:max-age=15768000; includeSubDomains

Answer 1

谢谢你的报告。我们目前只插入(而不是替换)HSTS header ，因为我们不知道某些框架默认添加它。我们将考虑始终覆盖 header ，因为重复 header 可能没有意义，我们设置的默认值适用于大多数用例。

目前:您可以在 Spring Boot 中禁用设置 HSTS 吗？
根据Spring boot docs ，您应该可以使用以下代码段禁用它:

@EnableWebSecurity
public class WebSecurityConfig extends
        WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // ...
            .headers()
                .frameOptions().sameOrigin()
                .httpStrictTransportSecurity().disable();
    }
}

更新 :我们将很快更改此行为:如果应用程序尚未设置 header ，Appcloud 只会设置 header 。因此，我们将选择权留给开发人员是否以及如何实现 HSTS，但它将提供默认值。

更新 2 : 新行为已经到位。