我知道使用http响应标头我们可以在java Web应用程序上强制执行其他安全措施。 作为一个例子,我使用了
resp.setHeader( "X-FRAME-OPTIONS", "SAMEORIGIN" );
resp.setHeader("Strict-Transport-Security", "max-age=16070400; includeSubDomains;")
但是,由第三方(赛门铁克)完成的渗透测试仍显示出相同的问题。我想知道是否必须在Application Server(Tomcat 6和JBOSS 5和6)中配置一些东西。
参考:https://www.whitehatsec.com/blog/http-strict-transport-security/