Есть ли реализация для использования заголовка Strict-Transport-Security в WebLogic? Я думаю, что это будет использовать что-то в web.xml под<security-constraint>
Я знаю, как это сделать для сервера на базе Apache, но не уверен, стоит ли добавлять это для WebLogic.
Обратите внимание, что в этом случае я не могу использовать Apache перед WebLogic.
решение1
На weblogic нет какой-либо специальной конфигурации для HSTS (HTTP Strict Transport Security).
Однако установку можно настроить для работы по протоколу HTTPS.
Вы можете установить 'transport-guarantee' на CONFIDENTIAL или INTEGRAL в web.xml. С этой установкой WebLogic Server автоматически перенаправит клиента на порт HTTPS, если исходный запрос был через HTTP.
Пример записи файла web.xml выглядит следующим образом:
<security-constraint> <user-data-constraint> <description>USE SSL</description> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
решение2
Я бы, наверное, поставил Nginx перед Weblogic в качестве обратного прокси-сервера и использовал бы его для всего HTTPS, включая HSTS.
Затем все, что вам нужно сделать, это добавить следующую конфигурацию в конфигурацию Nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;