Question

我需要保护我的http响应标头。

根据我以前在nodejs中所做的工作，我将使用头盔和一些手动配置来完成这项工作。

我也对Spring进行了研究，并得出了这张表。

所以我的主要问题是：

我是否需要在春季处理诸如X-Powered-By-Header之类的东西？我想在春季封锁X-Powered-By-Header，ieNoOpen吗？

Answer 1

X-Powered-By是由应用服务器提供的非标准HTTP标头。通常，您将使用此配置禁用默认的HTTP标头。

@Override
protected void configure(HttpSecurity http) throws Exception {
   http
      // ...
     .headers().disable();
}

但是，由于X-Powered-By是非标准API，因此该代码不会从您的应用服务器禁用此标头。您可以将应用服务器配置为禁用此标头。

是否需要在春季处理诸如X-Powered-By-Header之类的东西？

好吧，如果您愿意的话，您可以像这样覆盖标头

protected void configure(HttpSecurity http) throws Exception {
    http
      .headers()
        .addHeaderWriter(new StaticHeadersWriter("X-Powered-By-Header","Express"))
     ....
}

安全HTTP响应标头

1 个答案: