我们的架构是:
外部用户< --- https --->网络服务器(Apache HTTP服务器)< -----> webapp服务器(tomcat)
我们无法通过IBM AppScan,它用于检测webapp服务器中的任何安全缺陷,因为它发现我们的tomcat server.xml文件未添加secure =" yes"我们的端口属性。
然而,安全="是"不应将属性添加到tomcat server.xml文件中,因为我们不需要Web服务器和webapp服务器之间的安全连接。
我们如何解决这个问题? 有没有安全="是"属性可以添加到Web服务器(Apache HTTP服务器)的配置文件中吗?
谢谢&的问候,
戈登
答案 0 :(得分:0)
如果您的用户使用TLS(https:// URL)通过Apache httpd(间接)访问Tomcat,那么在secure="true"中设置<Connector>是完全合适的。这告诉您的Web应用程序即使没有收到请求也是安全的(例如,您在httpd和Tomcat之间使用普通HTTP)。
因此,如果您在scheme="https"上设置了<Connector>,那么您可能还想设置secure="true"。
这不是您可以在Apache httpd端进行的配置更改......必须在Tomcat中完成。