我正在检查各种弹簧安全模块。而且我非常热衷于HSTS(HTTP严格传输安全性)和同时的性能。
spring会为它碰到的每个请求添加HSTS标头,还是仅是第一次添加?
有没有优化的方法?我知道优化安全性是一个疯狂的主意,但是出于好奇,我问这个问题。
即使我阅读了spring-security个文档。但是文档没有透露任何信息。
我强烈认为弹簧不需要为每个响应发送HSTS标头。
答案 0 :(得分:1)
默认情况下,HSTS标头被添加到安全请求中。您可以通过设置自定义RequestMatcher来自定义此行为。然后,仅当请求与您的自定义匹配时,才发送回标头。
例如:
http
.headers()
.httpStrictTransportSecurity()
.requestMatcher(new AntPathRequestMatcher("/api/**"));
您可以在文档的HSTS header configuration部分中阅读更多内容。