Bei Verwendung der Swisscom CloudFoundry-Lösung mit einer Spring-Boot-Anwendung werden zwei Strict-Transport-Security
Header zu einer HTTPS-Antwort hinzugefügt. Ich habe dieses Problem untersucht und festgestellt, dass die CloudFoundry-Lösung mehrere Header hinzufügt. Spring Boot fügt standardmäßig auch den Header Strict-Transport-Security
hinzu (auf sicheren Sites), was zu zwei verschiedenen HSTS-Headern führt.Header "Strict-Transport-Security" zweimal als Antwort mit der Swisscom CloudFoundry-Applikation
Ich möchte die Header meiner Anwendung innerhalb meiner Anwendung konfigurieren. Gibt es eine Möglichkeit, diesen automatischen Header-Zusatz der Swisscom CloudFoundry-Lösung zu deaktivieren?
Wenn nicht, gibt es eine Möglichkeit, der Swisscom Cloud zu sagen, dass sie bestehende Strict-Transport-Security
Header überschreiben soll, anstatt sie an die Headerliste anzuhängen?
Eine HTTP-Antwort aus dem Frühjahr Boot-Anwendung, die Swisscom Cloud bereitgestellt, dann enthält die folgenden zwei Header:
Strict-Transport-Security:max-age=31536000 ; includeSubDomains
Strict-Transport-Security:max-age=15768000; includeSubDomains
Danke für Ihre Antwort. Das funktioniert, aber ich möchte meine Sicherheitskonfiguration in meiner Anwendung verwalten. Eine geteilte Sicherheitskonfiguration (d. H. Aktiv den HSTS-Header in meiner Anwendung zu deaktivieren) erhöht die Wahrscheinlichkeit, sie zu vergessen. Danke für deine Arbeit! –