Spring Security (4.0.1.Release) по умолчанию устанавливает хост HSTS для протокола https, и вы можете увидеть Strict-Transport-Security: max-age=31536000 ;
в заголовке ответа (я использовал Firefox> Веб-разработка> Сеть).
Но когда я смотрю на консоль firefox, я вижу ошибку, в которой говорится: The site specified an invalid Strict-Transport-Security header.
Я также вручную установил заголовок hsts в конфигурации spring как:
<headers>
<hsts />
</headers>
Создается тот же заголовок ответа, и FireFox снова показывает ошибку.
Согласно https://developer.mozilla.org/docs/Security/HTTP_Strict_Transport_Security заголовок должен быть правильным!
Любые комментарии ?!